Groupes d’identité spéciale
Découvrez les groupes d’identité spéciale Windows Server (parfois appelés groupes de sécurité) utilisés pour le contrôle d’accès Windows.
Qu’est-ce qu’un groupe d’identité spéciale ?
Les groupes d’identité spéciale sont similaires aux groupes de sécurité Active Directory listés dans les conteneurs Utilisateurs Active Directory et BuiltIn. Les groupes d’identité spéciale peuvent constituer un moyen efficace d’autoriser l’accès aux ressources de votre réseau. En utilisant des groupes d’identité spéciale, vous pouvez :
Attribuer des droits d’utilisateur à des groupes de sécurité dans Active Directory.
Attribuer des autorisations à des groupes de sécurité pour accéder aux ressources.
Comment fonctionnent les groupes d’identité spéciale dans Windows Server
Si un serveur exécute l’une des versions du système d’exploitation Windows Server indiquée dans la section S’applique à au début de cet article, le serveur a plusieurs groupes d’identité spéciale. Les groupes d’identité spéciale n’ont pas d’appartenances spécifiques que vous pouvez modifier, mais ils peuvent représenter différents utilisateurs à différents moments en fonction des circonstances.
Même si vous pouvez attribuer des droits et des autorisations sur des ressources spécifiques à un groupe d’identité spéciale, vous ne pouvez pas voir ou modifier l’appartenance d’un groupe d’identité spéciale. Les étendues de groupe ne s’appliquent pas aux groupes d’identité spéciale. Les utilisateurs sont automatiquement attribués à des groupes d’identité spéciale quand ils se connectent ou accèdent à une ressource spécifique.
Pour plus d’informations sur les groupes de sécurité et les étendues de groupe Active Directory, consultez Groupes de sécurité Active Directory.
Groupes d’identité spéciale par défaut
Les groupes d’identité spéciale par défaut dans Windows Server sont décrits dans la liste suivante :
- Ouverture de session anonyme
- Propriété de clé attestée
- Utilisateurs authentifiés
- Identité déclarée par l’autorité d’authentification
- Batch
- Ouverture de session console
- Creator Group (GROUPE CREATEUR)
- Propriétaire créateur
- Accès à distance
- Authentification Digest
- Contrôleurs de domaine d’entreprise
- Contrôleurs de domaine d’entreprise en lecture seule
- Tout le monde
- Nouvelle identité de clé publique
- Interactive
- IUSR
- Approbation de clé
- Service local
- LocalSystem
- Propriété de clé MFA
- Réseau
- Service réseau
- Authentification NTLM
- Autre organisation
- Droits de propriétaire
- Principal lui-même
- Proxy
- Contrôleurs de domaine en lecture seule
- Ouverture de session interactive à distance
- Restreint
- Authentification SChannel
- Service
- Identité déclarée par le service
- Utilisateur Terminal Server
- This Organization (Cette organisation)
- Gestionnaire de fenêtres\Groupe Gestionnaire de fenêtres
Ouverture de session anonyme
Tout utilisateur qui accède au système avec une ouverture de session anonyme a l’identité Ouverture de session anonyme. Cette identité donne un accès anonyme aux ressources, par exemple, à une page web publiée sur un serveur d’entreprise. Le groupe Ouverture de session anonyme n’est pas membre du groupe Tout le monde par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-7 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Propriété de clé attestée
Identificateur de sécurité (SID) qui signifie que l’objet d’approbation de clé a la propriété attestation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-6 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Utilisateurs authentifiés
Tout utilisateur qui accède au système avec un processus de connexion a l’identité Utilisateurs authentifiés. Cette identité donne accès aux ressources partagées au sein du domaine, comme les fichiers d’un dossier partagé qui doivent être accessibles à tous les travailleurs de l’organisation. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-11 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Ajouter des stations de travail au domaine : SeMachineAccountPrivilege Ignorer la vérification transversale : SeChangeNotifyPrivilege |
Identité déclarée par l’autorité d’authentification
SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à partir de la preuve de possession des informations d’identification du client.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-1 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Batch
Tout utilisateur ou processus qui accède au système sous forme de traitement par lots ou par la file d’attente de lots a l’identité Traitement par lots. Cette identité autorise les traitements par lots à exécuter des tâches planifiées, comme un travail de nettoyage nocturne qui supprime les fichiers temporaires. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-3 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | aucun |
Ouverture de session console
Groupe qui comprend les utilisateurs connectés à la console physique. Ce SID peut être utilisé pour implémenter des stratégies de sécurité qui accordent des droits différents selon que l’utilisateur a ou non obtenu un accès physique à la console.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-2-1 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Creator Group (GROUPE CREATEUR)
La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire.
Un SID d’espace réservé est créé dans une entrée de contrôle d’accès (ACE) pouvant être héritée. Quand l’ACE est héritée, le système remplace ce SID par celui du groupe principal du propriétaire actuel de l’objet. Le groupe principal est utilisé uniquement par le sous-système POSIX.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-3-1 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | aucun |
Creator Owner (Créateur propriétaire)
La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire. Un SID d’espace réservé est créé dans une ACE pouvant être héritée. Quand l’ACE est héritée, le système remplace ce SID par celui du propriétaire actuel de l’objet.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-3-0 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | aucun |
Dialup (LIGNE)
Tout utilisateur qui accède au système avec une connexion d’accès à distance a l’identité Accès à distance. Cette identité distingue les utilisateurs d’accès à distance des autres types d’utilisateurs authentifiés.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-1 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | aucun |
Authentification Digest
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-64-21 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | aucun |
Contrôleurs de domaine d’entreprise
Ce groupe comprend tous les contrôleurs de domaine d’une forêt Active Directory. Les contrôleurs de domaine avec des rôles et des responsabilités à l’échelle de l’entreprise ont l’identité Contrôleurs de domaine d’entreprise. Cette identité permet aux contrôleurs de domaine d’effectuer certaines tâches dans l’entreprise en utilisant les approbations transitives. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-9 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Autoriser l’ouverture de session localement : SeInteractiveLogonRight |
Contrôleurs de domaine d’entreprise en lecture seule
Ce groupe inclut tous les contrôleurs de domaine en lecture seule (RODC) dans une forêt Active Directory. Un contrôleur de domaine d’entreprise peut répliquer un sous-ensemble plus important de la base de données Active Directory, y compris le catalogue global et les partitions de domaine en lecture seule pour tous les domaines de la forêt. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-RootDomain-498<> |
| classe d'objet, | Groupe |
| Emplacement par défaut dans Active Directory | CN=Users, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Tout le monde
Tous les utilisateurs interactifs, réseau, avec accès à distance et authentifiés sont membres du groupe Tout le monde. Ce groupe d’identité spéciale donne un accès large aux ressources système. Chaque fois qu’un utilisateur se connecte au réseau, il est ajouté automatiquement au groupe Tout le monde. L’appartenance est contrôlée par le système d’exploitation.
Sur les ordinateurs qui exécutent Windows 2000 et versions antérieures, le groupe Tout le monde est un membre par défaut. À compter de Windows Server 2003, le groupe Tout le monde contient uniquement Utilisateurs authentifiés et Invités. Le groupe ne comprend plus Ouverture de session anonyme par défaut. Pour changer le paramètre de groupe Tout le monde pour y ajouter le groupe Ouverture de session anonyme, dans l’Éditeur du Registre, accédez à la clé Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa et définissez la valeur du DWORD everyoneincludesanonymous sur 1.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-1-0 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Ignorer la vérification transversale : SeChangeNotifyPrivilege |
Nouvelle identité de clé publique
SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à partir de la preuve de possession des informations d’identification de clé publique du client.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-3 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Interactive
Tout utilisateur connecté au système local a l’identité Interactif. Cette identité permet uniquement aux utilisateurs locaux d’accéder à une ressource. Chaque fois qu’un utilisateur accède à une ressource donnée sur l’ordinateur auquel il est connecté, il est ajouté automatiquement au groupe Interactif. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-4 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
IUSR
Internet Information Services (IIS) utilise ce compte par défaut quand l’authentification anonyme est activée.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-17 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Approbation de clé
SID qui signifie que l’identité du client est basée sur la preuve de possession des informations d’identification de clé publique en utilisant l’objet d’approbation de clé.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-4 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Service local
Le compte Service local est similaire au compte Utilisateur authentifié. Les membres du compte Service local ont le même niveau d’accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus donnés vient à être compromis. Les services qui s’exécutent sous le compte Service local accèdent aux ressources réseau dans une session null avec des informations d’identification anonymes. Le nom du compte est NT AUTHORITY\LocalService. Ce compte n’a pas de mot de passe.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-19 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Ajuster les quotas de mémoire d’un processus : SeIncreaseQuotaPrivilege Ignorer la vérification transversale : SeChangeNotifyPrivilege Changer l’heure système : SeSystemtimePrivilege Changer le fuseau horaire : SeTimeZonePrivilege Créer des objets globaux : SeCreateGlobalPrivilege Générer des audits de sécurité : SeAuditPrivilege Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege Remplacer un jeton de niveau processus : SeAssignPrimaryTokenPrivilege |
LocalSystem
Le compte LocalSystem est un compte de service utilisé par le système d’exploitation. Le compte LocalSystem est un compte puissant qui a un accès complet au système et représente l’ordinateur sur le réseau. Si un service se connecte au compte LocalSystem sur un contrôleur de domaine, ce service a accès à l’ensemble du domaine. Certains services sont configurés par défaut pour se connecter au compte LocalSystem. Ne changez pas le paramètre de service par défaut. Le nom du compte est LocalSystem. Ce compte n’a pas de mot de passe.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-18 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Propriété de clé MFA
SID qui signifie que l’objet d’approbation de clé a la propriété d’authentification multifacteur (MFA).
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-5 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Réseau
Ce groupe comprend implicitement tous les utilisateurs connectés avec une connexion réseau. Tout utilisateur qui accède au système sur un réseau a l’identité Réseau. Cette identité permet uniquement aux utilisateurs distants d’accéder à une ressource. Chaque fois qu’un utilisateur accède à une ressource sur le réseau, il est ajouté automatiquement au groupe Réseau. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-2 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Service réseau
Le compte Service réseau est similaire au compte Utilisateur authentifié. Les membres du compte Service réseau ont le même niveau d’accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus donnés vient à être compromis. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur. Le nom du compte est NT AUTHORITY\NetworkService. Ce compte n’a pas de mot de passe.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-20 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Ajuster les quotas de mémoire d’un processus : SeIncreaseQuotaPrivilege Ignorer la vérification transversale : SeChangeNotifyPrivilege Créer des objets globaux : SeCreateGlobalPrivilege Générer des audits de sécurité : SeAuditPrivilege Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege Remplacer un jeton de niveau processus : SeAssignPrimaryTokenPrivilege |
Authentification NTLM
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-64-10 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Autre organisation
Ce groupe comprend implicitement tous les utilisateurs connectés au système avec une connexion d’accès à distance. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-1000 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Droits de propriétaire
Le groupe Droits de propriétaire représente le propriétaire actuel de l’objet. Quand une ACE qui porte ce SID est appliquée à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC du propriétaire de l’objet.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-3-4 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Principal lui-même
Cette identité est un espace réservé dans une ACE pour un utilisateur, un groupe ou un objet ordinateur dans Active Directory. Quand vous accordez des autorisations à Principal lui-même, vous les accordez au principal de sécurité représenté par l’objet. Pendant une vérification d’accès, le système d’exploitation remplace le SID de Principal lui-même par le SID du principal de sécurité représenté par l’objet.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-10 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Proxy
Identifie un proxy SECURITY_NT_AUTHORITY.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-8 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Contrôleurs de domaine en lecture seule
Ce groupe inclut tous les contrôleurs de domaine avec des droits en lecture seule sur la base de données Active Directory. À l’exception des mots de passe de compte, un CONTRÔLEUR de domaine contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture contient. Il permet le déploiement de contrôleurs de domaine quand la sécurité physique est faible ou non garantie. Les contrôleurs de domaine sont des membres explicites de ce groupe.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-521 |
| classe d'objet, | Groupe |
| Emplacement par défaut dans Active Directory | CN=Users, DC=<rootDomain> |
| Droits d’utilisateur par défaut | None |
Notes
Le groupe Réplication de mot de passe RODC refusée est créé automatiquement quand un compte RODC est créé dans la forêt. Les mots de passe ne peuvent pas être répliqués dans le groupe Réplication de mot de passe RODC refusée.
Ouverture de session interactive à distance
Cette identité représente tous les utilisateurs actuellement connectés à un ordinateur avec une connexion de protocole RDP (Remote Desktop Protocol). Ce groupe est un sous-ensemble du groupe Interactif. Les jetons d’accès qui contiennent le SID Ouverture de session interactive à distance contiennent également le SID Interactif.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-14 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Limitées
Les utilisateurs et les ordinateurs avec des fonctionnalités restreintes ont l’identité Restreint. Ce groupe d’identité est utilisé par un processus qui s’exécute dans un contexte de sécurité restreint, comme l’exécution d’une application avec le service RunAs. Quand le code s’exécute au niveau de sécurité Restreint, le SID Restreint est ajouté au jeton d’accès de l’utilisateur.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-12 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Authentification SChannel
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-64-14 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Aucun |
Service
Tout service qui accède au système a l’identité Service. Ce groupe d’identité comprend tous les principaux de sécurité qui sont connectés en tant que service. Cette identité accorde l’accès aux processus exécutés par les services Windows Server. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-6 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Créer des objets globaux : SeCreateGlobalPrivilege Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege |
Identité déclarée par le service
SID qui signifie que l’identité du client est déclarée par un service.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-18-2 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Utilisateur Terminal Server
Tout utilisateur qui accède au système avec des services Terminal Server a l’identité Utilisateur Terminal Server. Cette identité permet aux utilisateurs d’accéder aux applications Terminal Server et d’effectuer d’autres tâches nécessaires avec les services Terminal Server. L’appartenance est contrôlée par le système d’exploitation.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-13 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
This Organization (Cette organisation)
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-15 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | None |
Gestionnaire de fenêtres\Groupe Gestionnaire de fenêtres
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-90 |
| classe d'objet, | Principal de sécurité extérieur |
| Emplacement par défaut dans Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Droits d’utilisateur par défaut | Ignorer la vérification transversale : SeChangeNotifyPrivilege Augmenter une plage de travail de processus : SeIncreaseWorkingSetPrivilege |