Группы безопасности Active Directory
Сведения о группах безопасности Active Directory по умолчанию, области групп и функциях групп.
Что такое группа безопасности в Active Directory?
Active Directory имеет две формы общих субъектов безопасности: учетные записи пользователей и учетные записи компьютера. Эти учетные записи представляют собой физическую сущность, которая является пользователем или компьютером. Учетная запись пользователя также может использоваться в качестве выделенной учетной записи службы для некоторых приложений.
Группы безопасности — это способ сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.
В операционной системе Windows Server несколько встроенных учетных записей и групп безопасности предварительно настроены с соответствующими правами и разрешениями для выполнения определенных задач. В Active Directory административные обязанности разделены на два типа администраторов:
Администраторы служб: ответственность за обслуживание и доставку служб домен Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.
Администраторы данных: ответственность за обслуживание данных, хранящихся в AD DS и на серверах-членах домена и рабочих станциях.
Как работают группы безопасности Active Directory
Используйте группы для сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами вместо отдельных пользователей помогает упростить обслуживание сети и администрирование.
Active Directory имеет два типа групп:
Группы безопасности. Используйте для назначения разрешений общим ресурсам.
Группы рассылки: создание списков рассылки электронной почты.
Группы безопасности
Группы безопасности могут обеспечить эффективный способ назначения доступа к ресурсам в сети. С помощью групп безопасности можно выполнять следующие действия.
Назначение прав пользователей группам безопасности в Active Directory.
Назначьте права пользователя группе безопасности, чтобы определить, какие члены этой группы могут выполнять в пределах домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль пользователя в домене.
Например, пользователь, добавляемый в группу операторов резервного копирования в Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Пользователь может выполнить эти действия, так как по умолчанию файлы резервного копирования и каталоги прав пользователя, а также файлы восстановления и каталоги автоматически назначаются группе операторов резервного копирования. Поэтому члены этой группы наследуют права пользователя, назначенные этой группе.
Групповую политику можно использовать для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе "Назначение прав пользователей".
Назначьте разрешения группам безопасности для ресурсов.
Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровню доступа, например полный контроль или чтение. Некоторые разрешения, заданные для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа "Операторы учетных записей" или группа "Администраторы домена".
Группы безопасности перечислены в списках по усмотрению контроль доступа списки (DACLs), определяющие разрешения на ресурсы и объекты. Когда администраторы назначают разрешения для ресурсов, таких как общие папки или принтеры, они должны назначать эти разрешения группе безопасности вместо отдельных пользователей. Разрешения назначаются группе один раз вместо нескольких раз каждому отдельному пользователю. Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. Пользователь получает разрешения, определенные для этой группы.
Группу безопасности можно использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в группу безопасности отправляет сообщение всем членам группы.
Группы рассылки
Группы рассылки можно использовать только для отправки электронной почты в коллекции пользователей с помощью почтового приложения, например Exchange Server. Группы рассылки не включены в систему безопасности, поэтому их нельзя включить в списки управления доступом.
Область действия группы
Каждая группа имеет область, которая определяет степень применения группы в дереве домена или лесу. Область группы определяет, где в сетевых разрешениях можно предоставить группе. Active Directory определяет следующие три области группы:
Юниверсал
Глобальный
Локальный домен
Примечание.
Помимо этих трех областей, группы по умолчанию в контейнере Builtin имеют область группы Builtin Local. Эту область группы и тип группы нельзя изменить.
В следующей таблице описаны три области групп и их работа в качестве групп безопасности.
Область | Возможные члены | Преобразование области | Может предоставлять разрешения | Возможный член |
---|---|---|---|---|
Юниверсал | Учетные записи из любого домена в одном лесу Глобальные группы из любого домена в одном лесу Другие универсальные группы из любого домена в одном лесу |
Можно преобразовать в локальную область домена, если группа не является членом какой-либо другой универсальной группы Можно преобразовать в глобальную область, если группа не содержит другую универсальную группу |
В любом домене в одном лесу или доверенных лесах | Другие универсальные группы в том же лесу Локальные группы домена в одном лесу или доверенных лесах Локальные группы на компьютерах в одном лесу или доверенных лесах |
Глобальный | Учетные записи из одного домена Другие глобальные группы из того же домена |
Можно преобразовать в универсальную область, если группа не входит в другую глобальную группу | В любом домене в одном лесу или доверенных доменах или лесах | Универсальные группы из любого домена в одном лесу Другие глобальные группы из того же домена Локальные группы домена из любого домена в одном лесу или из любого доверенного домена |
Локальный домен | Учетные записи из любого домена или любого доверенного домена Глобальные группы из любого домена или любого доверенного домена Универсальные группы из любого домена в одном лесу Другие локальные группы домена из того же домена Учетные записи, глобальные группы и универсальные группы из других лесов и из внешних доменов |
Можно преобразовать в универсальную область, если группа не содержит другую локальную группу домена | В том же домене | Другие локальные группы домена из того же домена Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами безопасности (SID) |
Специальные группы удостоверений
Специальная группа удостоверений заключается в том, что определенные специальные удостоверения группируются вместе. Специальные группы удостоверений не имеют определенных членства, которые можно изменить, но они могут представлять разных пользователей в зависимости от обстоятельств. Некоторые из этих групп включают владельца создателя, пакетную службу и пользователя с проверкой подлинности.
Дополнительные сведения см. в разделе "Специальные группы удостоверений".
Группы безопасности по умолчанию
Группы администраторов домена по умолчанию — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и делегированию определенных административных ролей на уровне домена.
Многие группы по умолчанию автоматически назначают набор прав пользователя, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок. Например, член группы операторов резервного копирования может выполнять операции резервного копирования для всех контроллеров домена в домене.
При добавлении пользователя в группу пользователь получает все права пользователя, назначенные группе, включая все разрешения, назначенные группе для всех общих ресурсов.
Группы по умолчанию находятся в встроенном контейнере и в контейнере Users в Пользователи и компьютеры Active Directory. Контейнер Builtin включает группы, определенные с помощью области "Локальный домен". Контейнер "Пользователи" включает группы, определенные с глобальной областью и группами, определенными с локальной областью домена. Группы, расположенные в этих контейнерах, можно переместить в другие группы или организационные подразделения в домене, но их нельзя переместить в другие домены.
Некоторые административные группы, перечисленные в этой статье, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп перезаписывается с помощью защищенных параметров.
Дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов служб или любой из ее учетных записей-членов, необходимо изменить дескриптор безопасности в объекте AdminSDHolder таким образом, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным административным учетным записям.
Группы безопасности Active Directory по умолчанию
В следующем списке приведены описания групп по умолчанию, расположенных в контейнерах "Встроенные" и "Пользователи" в Active Directory:
- Операторы помощи контроль доступа
- Операторы учетной записи
- Администраторы
- Разрешенная репликация паролей RODC
- Операторы резервного копирования
- Доступ К службе сертификатов DCOM
- Издатели сертификатов
- Клонируемые контроллеры домена
- Криптографические операторы
- Отказано в репликации паролей RODC
- Владельцы устройств
- Администраторы DHCP
- Пользователи DHCP
- Распределенные com-пользователи
- DnsUpdateProxy
- DnsAdmins
- Администраторы домена
- Компьютеры домена
- Контроллеры домена
- Гости домена
- Пользователи домена
- Администраторы предприятия
- Администраторы ключей предприятия
- Контроллеры домена только для чтения предприятия
- Средства чтения журналов событий
- Владельцы создателей групповой политики
- Гости
- Администраторы Hyper-V
- IIS_IUSRS
- Построитель доверия входящего леса
- Администраторы ключей
- Операторы конфигурации сети
- Пользователи журнала производительности
- пользователи Монитор производительности
- Доступ, совместимый с Windows 2000
- Операторы печати
- Защищенные пользователи
- Серверы RAS и IAS
- Серверы конечных точек RDS
- Серверы управления удаленными рабочими столами
- Серверы удаленного доступа RDS
- Контроллеры домена только для чтения
- Пользователи удаленного рабочего стола
- Пользователи удаленного управления
- Репликатор
- Администраторы схемы
- Операторы сервера
- Администраторы реплики хранилища
- Системные управляемые учетные записи
- Серверы лицензирования сервера терминалов
- Пользователи
- Доступ к авторизации Windows
- WinRMRemoteWMIUsers_
Операторы помощи по контролю учетных записей
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Группа операторов помощи контроль доступа применяется к операционной системе Windows Server, указанной в таблице групп безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-579 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Операторы учета
Группа операторов учетных записей предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи для пользователей, локальных групп и глобальных групп. Участники группы могут входить локально в контроллеры домена.
Члены группы операторов учетных записей не могут управлять учетной записью администратора, учетными записями администраторов или администраторами, операторами сервера, операторами учетных записей, операторами резервного копирования или группами операторов печати. Члены этой группы не могут изменять права пользователя.
Группа операторов учетных записей применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию.
Примечание.
По умолчанию эта встроенная группа не имеет членов. Группа может создавать пользователей и группы в домене и управлять ими, включая его членство и группу операторов серверов. Эта группа считается группой администраторов служб, так как она может изменять операторы сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для делегированного администрирования. Эту группу нельзя переименовать, удалить или удалить.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-548 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Разрешить вход локально: SeInteractiveLogonRight |
Администраторы
Члены группы администраторов имеют полный и неограниченный доступ к компьютеру. Если компьютер повышен до контроллера домена, члены группы администраторов имеют неограниченный доступ к домену.
Группа администраторов применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию.
Примечание.
Группа администраторов имеет встроенные возможности, которые обеспечивают своим членам полный контроль над системой. Эту группу нельзя переименовать, удалить или удалить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменить членство во всех административных группах. Члены следующих групп могут изменять членство в группах администраторов: администраторы служб по умолчанию, администраторы домена в домене и администраторы предприятия. Эта группа имеет особые права на владение любым объектом в каталоге или любом ресурсе на контроллере домена. Эта учетная запись считается группой администратора службы, так как ее члены имеют полный доступ к контроллерам домена в домене.
Эта группа безопасности включает следующие изменения с Windows Server 2008:
Изменения прав пользователей по умолчанию: разрешение входа через службы терминалов существовало в Windows Server 2008, и оно было заменено разрешением входа через службы удаленных рабочих столов.
Удаление компьютера из станции док-станции было удалено в Windows Server 2012 R2.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-544 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Администратор, администраторы домена, администраторы предприятия |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Настройка квот памяти для процесса: SeIncreaseQuotaPrivilege Доступ к этому компьютеру из сети: SeNetworkLogonRight Разрешить вход локально: SeInteractiveLogonRight Разрешить вход через службы удаленных рабочих столов: SeRemoteInteractiveLogonRight Резервное копирование файлов и каталогов: SeBackupPrivilege Обход проверки: SeChangeNotifyPrivilege Изменение системного времени: SeSystemTimePrivilege Изменение часового пояса: SeTimeZonePrivilege Создание файла страницы: SeCreatePagefilePrivilege Создание глобальных объектов: SeCreateGlobalPrivilege Создание символьных ссылок: SeCreateSymbolicLinkPrivilege Отладка программ: SeDebugPrivilege Включение доверия учетных записей компьютеров и пользователей для делегирования: SeEnableDelegationPrivilege Принудительное завершение работы из удаленной системы: SeRemoteShutdownPrivilege Олицетворения клиента после проверки подлинности: SeImpersonatePrivilege Увеличение приоритета планирования: SeIncreaseBasePriorityPrivilege Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege Вход в качестве пакетного задания: SeBatchLogonRight Управление журналом аудита и безопасности: SeSecurityPrivilege Изменение значений среды встроенного ПО: SeSystemEnvironmentPrivilege Выполнение задач обслуживания томов: SeManageVolumePrivilege Производительность системы профиля: SeSystemProfilePrivilege Один процесс профиля: SeProfileSingleProcessPrivilege Удаление компьютера из док-станции: SeUndockPrivilege Восстановление файлов и каталогов: SeRestorePrivilege Завершение работы системы: SeShutdownPrivilege Владение файлами или другими объектами: SeTakeOwnershipPrivilege |
Разрешенная репликация паролей RODC
Цель этой группы безопасности — управлять политикой репликации паролей только для чтения (RODC). Эта группа не имеет элементов по умолчанию, и это приводит к условию, что новые контроллеры домена не кэшируют учетные данные пользователя. Группа репликации паролей RODC запрещена, содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC запрещена, заменяет группу разрешенной репликации паролей RODC.
Разрешенная группа репликации паролей RODC применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-571<> |
Тип | Локальная в домене |
Контейнер по умолчанию | CN=Users DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Операторы архива
Члены группы операторов резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти в систему и завершить работу компьютера. Эту группу нельзя переименовать, удалить или удалить. По умолчанию эта встроенная группа не имеет членов, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Члены следующих групп могут изменять членство в группах операторов резервного копирования: администраторы служб по умолчанию, администраторы домена в домене и администраторы предприятия. Члены группы операторов резервного копирования не могут изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять параметры сервера или изменять конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена. Поскольку члены этой группы могут заменить файлы на контроллерах домена, они считаются администраторами служб.
Группа операторов резервного копирования применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-551 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Разрешить вход локально: SeInteractiveLogonRight Резервное копирование файлов и каталогов: SeBackupPrivilege Вход в качестве пакетного задания: SeBatchLogonRight Восстановление файлов и каталогов: SeRestorePrivilege Завершение работы системы: SeShutdownPrivilege |
Доступ DCOM службы сертификации
Члены этой группы могут подключаться к центрам сертификации в организации.
Группа доступа DCOM службы сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-domain-574<> |
Тип | Локальный домен |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Издатели сертификатов
Члены группы издателей сертификатов авторизованы на публикацию сертификатов для объектов user в Active Directory.
Группа издателей сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-517<> |
Тип | Локальный домен |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Отказано в репликации паролей RODC |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Клонируемые контроллеры домена
Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и Windows Server 2012 можно развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде больше не нужно повторно развертывать образ сервера, подготовленный с помощью Sysprep.exe, повышая сервер к контроллеру домена, а затем выполнять дополнительные требования к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена в эту группу безопасности).
Дополнительные сведения см. в разделе "Безопасное виртуализация служб домен Active Directory" (AD DS)
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-522<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Криптографические операторы
Членам этой группы разрешено выполнение операций криптографии. Эта группа безопасности была добавлена в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.
Группа операторов шифрования применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Эта группа безопасности появилась в Windows Vista с пакетом обновления 1 (SP1), и она не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-569 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Отказано в репликации паролей RODC
Пароли членов группы репликации паролей RODC отказано в ней не могут быть реплицированы.
Цель этой группы безопасности — управлять политикой репликации паролей RODC. Эта группа содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC запрещена, заменяет группу разрешенной репликации паролей RODC.
Эта группа безопасности включает следующие изменения с Windows Server 2008:
- Windows Server 2012 изменил члены по умолчанию, чтобы включить издателей сертификатов.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-572<> |
Тип | Локальная в домене |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Издатели сертификатов Владельцы создателей групповой политики |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Владельцы устройств
Если у группы владельцев устройств нет участников, рекомендуется не изменять конфигурацию по умолчанию для этой группы безопасности. Изменение конфигурации по умолчанию может препятствовать будущим сценариям, которые зависят от этой группы. В настоящее время группа владельцев устройств не используется в Windows.
Группа владельцев устройств применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-583 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Вы можете переместить группу, но мы не рекомендуем ее |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Разрешить вход локально: SeInteractiveLogonRight Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход проверки: SeChangeNotifyPrivilege Изменение часового пояса: SeTimeZonePrivilege |
DHCP Administrators
Члены группы администраторов DHCP могут создавать, удалять и управлять различными областями области сервера, включая права на резервное копирование и восстановление базы данных протокола dhcp. Несмотря на то, что эта группа имеет права администратора, она не является частью группы "Администраторы", так как эта роль ограничена службами DHCP.
Группа администраторов DHCP применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain<> |
Тип | Локальный домен |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Пользователи |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Вы можете переместить группу, но мы не рекомендуем ее |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Пользователи DHCP
Члены группы "Пользователи DHCP" могут видеть, какие области активны или неактивны, узнать, какие IP-адреса назначены, и просмотреть проблемы с подключением, если DHCP-сервер настроен неправильно. Эта группа ограничена доступом только для чтения к DHCP-серверу.
Группа "Пользователи DHCP" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain<> |
Тип | Локальный домен |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Пользователи |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Вы можете переместить группу, но мы не рекомендуем ее |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Пользователи DCOM
Члены группы распределенных пользователей COM могут запускать, активировать и использовать распределенные COM-объекты на компьютере. Объектная модель компонента Майкрософт (COM) — это независимая от платформы распределенная объектная система для создания двоичных компонентов программного обеспечения, которые могут взаимодействовать. Распределенная объектная модель компонента (DCOM) позволяет приложениям распределяться по расположениям, которые наиболее понятны для вас и приложения. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит главный образец операций (также называемый гибкими отдельными основными операциями или FSMO).
Группа распределенных пользователей COM применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-562 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
DnsUpdateProxy
Члены группы DnsUpdateProxy — это DNS-клиенты. Они могут выполнять динамические обновления от имени других клиентов, например для DHCP-серверов. DNS-сервер может разрабатывать устаревшие записи ресурсов, если DHCP-сервер настроен для динамической регистрации записей ресурсов узла (A) и записей ресурсов указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности устраняет этот сценарий.
Однако для защиты от незащищенных записей или разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, разрешающих только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с помощью учетных данных (имя пользователя, пароль и домен) этой учетной записи. Несколько DHCP-серверов могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена или была установлена на контроллере домена в домене.
Дополнительные сведения см. в статье о владельцах записей DNS и группе DnsUpdateProxy.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-variable<>< RI> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
DnsAdmins
Члены группы DnsAdmins имеют доступ к сведениям о сети DNS. Разрешения по умолчанию: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, специальные разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена или была установлена на контроллере домена в домене.
Дополнительные сведения о безопасности и DNS см . в статье DNSSEC в Windows Server 2012.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-variable<>< RI> |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Администраторы домена
Члены группы безопасности администраторов домена могут администрировать домен. По умолчанию группа "Администраторы домена" является членом группы "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Группа "Администраторы домена" является владельцем любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владелец по умолчанию — это группа "Администраторы".
Группа администраторов домена управляет доступом ко всем контроллерам домена в домене и может изменить членство всех административных учетных записей в домене. Члены групп администраторов служб в своем домене (администраторы и администраторы домена) и члены группы администраторов предприятия могут изменять членство администраторов домена. Эта группа считается учетной записью администратора службы, так как ее члены имеют полный доступ к контроллерам домена в домене.
Группа администраторов домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-512<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Администратор |
Является членом по умолчанию. | Администраторы |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | См. раздел "Администраторы" |
Компьютеры домена
Эта группа может включать все компьютеры и серверы, присоединенные к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.
Группа "Компьютеры домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-515<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Все компьютеры, присоединенные к домену, за исключением контроллеров домена |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да (но не обязательно) |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Контроллеры доменов
Группа контроллеров домена может включать все контроллеры домена в домен. Новые контроллеры домена автоматически добавляются в эту группу.
Группа контроллеров домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-516<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Учетные записи компьютера для всех контроллеров домена |
Является членом по умолчанию. | Отказано в репликации паролей RODC |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | No |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Гости домена
Группа "Гости домена" включает встроенную гостевую учетную запись домена. Когда члены этой группы войдите в качестве локальных гостей на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.
Группа "Гости домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-514<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Гость |
Является членом по умолчанию. | Гости |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Вы можете переместить группу, но мы не рекомендуем ее |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Просмотр гостей |
Пользователи домена
Группа "Пользователи домена" включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене она автоматически добавляется в эту группу.
По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эту группу можно использовать для представления всех пользователей в домене. Например, если у всех пользователей домена есть доступ к принтеру, вы можете назначить разрешения для принтера этой группе или добавить группу "Пользователи домена" в локальную группу на сервере печати с разрешениями принтера.
Группа "Пользователи домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-513<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Администратор |
krbtgt | |
Является членом по умолчанию. | Пользователи |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Просмотр пользователей |
Администраторы предприятия
Группа администраторов предприятия существует только в корневом домене леса Доменов Active Directory. Группа является универсальной группой, если домен находится в собственном режиме. Группа — это глобальная группа, если домен находится в смешанном режиме. Члены этой группы разрешены вносить изменения в Active Directory в лесах, например добавлять дочерние домены.
По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу "Администраторы" в каждом домене леса и предоставляет полный доступ к настройке всех контроллеров домена. Члены этой группы могут изменять членство во всех административных группах. Члены групп администраторов служб по умолчанию в корневом домене могут изменять членство администраторов предприятия. Эта группа считается учетной записью администратора службы.
Группа администраторов предприятия применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-root< domain-519> |
Тип | Универсальный, если домен находится в собственном режиме; в противном случае — global |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Администратор |
Является членом по умолчанию. | Администраторы |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | См. раздел "Администраторы" |
Администраторы корпоративных ключей
Члены этой группы могут выполнять административные действия по ключевым объектам в лесу.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-527<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Контроллеры домена только для чтения предприятия
Члены этой группы являются контроллерами домена в организации. За исключением паролей учетных записей, RODC содержит все объекты и атрибуты Active Directory, которые содержит контроллер домена, доступный для записи. Однако изменения нельзя вносить в базу данных, хранящуюся в RODC. Изменения необходимо вносить на контроллер домена, доступный для записи, а затем реплицировать в RODC.
РОДК устраняют некоторые проблемы, которые часто находятся в филиалах. Эти расположения могут не иметь контроллер домена, или у них может быть доступный для записи контроллер домена, но не физическая безопасность, пропускная способность сети или локальный опыт поддержки.
Дополнительные сведения см. в статье о том, что такое RODC?
Группа контроллеров домена только для чтения предприятия применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-root< domain-498> |
Тип | Юниверсал |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Читатели журнала событий
Члены этой группы могут считывать журналы событий с локальных компьютеров. Группа создается при повышении уровня сервера до контроллера домена.
Группа читателей журналов событий применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-573 |
Тип | Локальный домен |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Владельцы-создатели групповой политики
Эта группа авторизована на создание, изменение и удаление объектов групповой политики в домене. По умолчанию единственным членом группы является администратор.
Сведения о других функциях, которые можно использовать с этой группой безопасности, см . в обзоре групповой политики.
Группа владельцев групповой политики применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-520<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Администратор |
Является членом по умолчанию. | Отказано в репликации паролей RODC |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | No |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | См. раздел "Отказано в репликации паролей RODC" |
Гости
Члены группы гостей имеют тот же доступ, что и члены группы "Пользователи" по умолчанию, за исключением того, что у гостевой учетной записи есть дополнительные ограничения. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или однократным пользователям входить с ограниченными привилегиями в встроенную гостевую учетную запись компьютера.
При выходе из группы гостей весь профиль удаляется. Удаление профиля включает в себя все, что хранится в каталоге %userprofile% , включая сведения о реестре пользователя, пользовательские значки рабочего стола и другие параметры, относящиеся к пользователю. Это означает, что гость должен использовать временный профиль для входа в систему. Эта группа безопасности взаимодействует с параметром групповой политики. Если эта группа безопасности включена, не войдите на пользователей с временными профилями. Чтобы получить доступ к этому параметру, перейдите к профилям пользователей системы административных>шаблонов>конфигурации>компьютера.
Примечание.
Гостевая учетная запись является членом группы безопасности гостей по умолчанию. Пользователи, у которых нет фактической учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, учетная запись которого отключена (но не удалена), также может использовать учетную запись "Гость". Учетная запись "Гость" не требует пароля. Вы можете задать права и разрешения для гостевой учетной записи как в любой учетной записи пользователя. По умолчанию гостевая учетная запись является членом встроенной группы гостей и глобальной группы "Гости домена", которая позволяет пользователю входить в домен. По умолчанию учетная запись гостя отключена, и включать ее не рекомендуется.
Группа гостей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-546 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Гости домена |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Администраторы Hyper-V
Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям в Hyper-V. Добавление участников в эту группу помогает сократить количество участников, необходимых в группе "Администраторы", и дальнейшее разделение доступа.
Примечание.
До Windows Server 2012 доступ к функциям в Hyper-V был контролируется частично членством в группе "Администраторы".
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-578 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
IIS_IUSRS
IIS_IUSRS — это встроенная группа, используемая службы IIS (IIS), начиная с IIS 7. Встроенная учетная запись и группа гарантируются операционной системой всегда иметь уникальный идентификатор безопасности. IIS 7 заменяет учетную запись IUSR_MachineName и группу IIS_WPG группой IIS_IUSRS, чтобы убедиться, что фактические имена новой учетной записи и группы никогда не локализованы. Например, независимо от языка устанавливаемой операционной системы Windows имя учетной записи IIS всегда будет IUSR, а имя группы будет IIS_IUSRS.
Дополнительные сведения см. в статье "Общие сведения о встроенных учетных записях пользователей и групп" в IIS 7.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-568 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | IUSR |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Построитель доверия входящего леса
Члены группы "Построитель доверия входящего леса" могут создавать входящие, односторонние отношения доверия к этому лесу. Active Directory обеспечивает безопасность между несколькими доменами или лесами через отношения доверия между доменами и лесами. Прежде чем проверка подлинности может произойти в отношениях доверия, Windows должна определить, запрашивается ли домен пользователем, компьютером или службой отношение доверия с доменом входа в учетную запись запроса.
Чтобы сделать это, система безопасности Windows вычисляет путь доверия между контроллером домена для сервера, который получает запрос и контроллер домена в домене запрашивающей учетной записи. Защищенный канал распространяется на другие домены Active Directory с помощью отношений доверия между доменами. Этот защищенный канал используется для получения и проверки сведений о безопасности, включая идентификаторы SID для пользователей и групп.
Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.
Дополнительные сведения см. в разделе "Как работает домен и лес доверия".
Группа построитель доверия входящего леса применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-557 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Администраторы ключей
Члены этой группы могут выполнять административные действия по ключевым объектам в домене.
Группа "Администраторы ключей" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-526<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Операторы настройки сети
Члены группы операторов конфигурации сети могут иметь следующие административные права для управления конфигурацией сетевых функций:
Измените свойства протокола управления передачей или протокола TCP/IP для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.
Переименуйте подключения локальной сети или подключения удаленного доступа, доступные всем пользователям.
Включение или отключение подключения локальной сети.
Измените свойства всех подключений удаленного доступа пользователей.
Удалите все подключения удаленного доступа пользователей.
Переименуйте все подключения удаленного доступа пользователей.
Проблема
ipconfig
иipconfig /release
ipconfig /renew
команды.Введите ключ разблокировки ПИН-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.
Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.
Группа операторов конфигурации сети применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-556 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Пользователи журналов производительности
Члены группы "Пользователи журналов производительности" могут управлять счетчиками производительности, журналами и оповещениями локально на сервере и удаленных клиентах, не являясь членом группы "Администраторы". В частности, члены этой группы безопасности:
Можно использовать все функции, доступные группе Монитор производительности "Пользователи".
Может создавать и изменять наборы сборщиков данных после назначения группы в качестве пользователя пакетного задания в качестве пользователя пакетного задания .
Предупреждение
Если вы являетесь членом группы пользователей журнала производительности, необходимо настроить наборы сборщиков данных, создаваемые для выполнения под учетными данными.
Примечание.
В Windows Server 2016 и более поздних версий член группы пользователей журнала производительности не может создавать наборы сборщиков данных. Если член группы пользователей журнала производительности пытается создать наборы сборщиков данных, они не могут завершить действие, так как доступ запрещен.
Не удается использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.
Чтобы участники группы "Пользователи журналов производительности" запускали ведение журнала данных или изменение наборов сборщиков данных, группа сначала должна быть назначена учетной записи в качестве пользователя пакетного задания . Чтобы назначить это право, используйте оснастку "Локальная политика безопасности" в консоли управления Майкрософт (MMC).
Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту учетную запись нельзя переименовать, удалить или переместить.
Группа пользователей журнала производительности применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-559 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | Вход в качестве пакетного задания: SeBatchLogonRight |
Пользователи монитора производительности
Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и из удаленных клиентов, не являясь членом групп администраторов или пользователей журналов производительности. Windows Монитор производительности — это оснастка MMC, которая предоставляет средства для анализа производительности системы. В одной консоли можно отслеживать производительность приложений и оборудования, настраивать данные, которые вы хотите собирать в журналах, определять пороговые значения оповещений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.
В частности, члены этой группы безопасности:
Можно использовать все функции, доступные группе "Пользователи".
Может просматривать данные о производительности в режиме реального времени в Монитор производительности.
Может изменить свойства Монитор производительности при просмотре данных.
Не удается создать или изменить наборы сборщиков данных.
Предупреждение
Члены группы пользователей Монитор производительности не могут настроить наборы сбора данных.
Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.
Группа пользователей Монитор производительности применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-558 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Доступ, совместимый с Windows 2000
Члены группы доступа с поддержкой Windows 2000 имеют доступ на чтение для всех пользователей и групп в домене. Эта группа предоставляется для обеспечения обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений "Все" входит в эту группу. Добавьте пользователей в эту группу только в том случае, если они работают под управлением Windows NT 4.0 или более ранней версии.
Предупреждение
Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO).
Группа доступа, совместимая с Windows 2000, применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-554 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Если выбрать режим разрешений, совместимых с Предварительной версией Windows 2000, все пользователи и анонимные являются участниками. Если выбрать режим разрешений только для Windows 2000, пользователи, прошедшие проверку подлинности, являются членами. |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход проверки: SeChangeNotifyPrivilege |
Операторы печати
Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами принтера Active Directory в домене. Члены этой группы могут локально войти в домен и завершить работу контроллеров домена.
По умолчанию в эту группу не входит ни один участник. Так как члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавьте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или удалить.
Группа операторов печати применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Дополнительные сведения см. в разделе "Назначение делегированного администратора печати" и параметров разрешений принтера в Windows Server 2012.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-550 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Разрешить вход локально: SeInteractiveLogonRight Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege Завершение работы системы: SeShutdownPrivilege |
Защищенные пользователи
Члены группы защищенных пользователей имеют дополнительную защиту от компрометации учетных данных во время процессов проверки подлинности.
Эта группа безопасности предложена в рамках стратегии эффективной защиты и управления учетными данными внутри предприятия. Члены этой группы автоматически имеют не настраиваемую защиту, применяемую к их учетным записям. По умолчанию предполагается, что членство в группе защищенных пользователей накладывает определенные ограничения и обеспечивает профилактическую защиту. Единственным способом изменения защиты учетной записи является удаление учетной записи из группы безопасности.
Эта группа, связанная с доменом, активирует не настраиваемую защиту на устройствах и узлах, начиная с операционных систем Windows Server 2012 R2 и Windows 8.1. Он также активирует не настраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2016 или Windows Server 2012 R2. Эта защита значительно сокращает объем памяти учетных данных при входе пользователей на компьютеры в сети с нескомпрометированного компьютера.
В зависимости от функционального уровня домена учетной записи члены группы "Защищенные пользователи" дополнительно защищены из-за изменений поведения в методах проверки подлинности, поддерживаемых в Windows:
Члены группы защищенных пользователей не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSPS): NTLM, дайджест-аутентификации или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 10 или Windows 8.1, поэтому устройство не может пройти проверку подлинности в домене, когда учетная запись входит в группу защищенных пользователей.
Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной проверки подлинности. Домен должен быть настроен для поддержки по крайней мере набора шифров AES.
Учетная запись пользователя не может быть делегирована с помощью ограниченного или неограниченного делегирования Kerberos. Если пользователь является членом группы "Защищенные пользователи", более ранние подключения к другим системам могут завершиться ошибкой.
Вы можете изменить параметр времени существования билетов Kerberos (TGTs) по умолчанию с помощью политик проверки подлинности и силосов в Центре администрирования Active Directory. В параметре по умолчанию, когда прошло четыре часа, пользователь должен снова пройти проверку подлинности.
Группа защищенных пользователей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. в разделе "Защищенные пользователи".
В следующей таблице указаны свойства группы защищенных пользователей:
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-525<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Серверы RAS и IAS
Компьютеры, которые являются членами группы серверов RAS и IAS, при правильной настройке, могут использовать службы удаленного доступа. По умолчанию эта группа не имеет членов. Компьютеры, работающие под управлением службы маршрутизации и удаленного доступа (RRAS), а также службы удаленного доступа, такие как служба проверки подлинности Интернета (IAS) и серверы политики сети, добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов Пользователей, таким как ограничения для чтения учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения.
Группа серверов RAS и IAS применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-553<> |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Серверы конечных точек RDS
Серверы, которые являются членами группы конечных точек RDS, могут запускать виртуальные машины и сеансы узлов, где выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы. Эту группу необходимо заполнить на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы узла сеансов и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.
Дополнительные сведения о службах удаленных рабочих столов (RDS) см. в разделе "Службы удаленных рабочих столов" в Windows Server.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-576 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Серверы управления удаленными рабочими столами
Серверы, которые являются членами группы серверов управления удаленными рабочими столами, можно использовать для выполнения стандартных административных действий на серверах под управлением RDS. Эту группу необходимо заполнить на всех серверах в развертывании RDS. Серверы, на которых работает служба центра управления RDS, должны быть включены в эту группу.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-577 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Серверы удаленного доступа RDS
Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и личным виртуальным рабочим столам. В развертываниях, подключенных к Интернету, эти серверы обычно развертываются в пограничной сети. Эту группу необходимо заполнить на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются в развертывании, должны находиться в этой группе.
Дополнительные сведения см. в разделе "Службы удаленных рабочих столов" в Windows Server.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-575 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Контроллеры домена только для чтения
Эта группа состоит из контроллеров домена. RODC позволяет организациям легко развертывать контроллер домена в сценариях, в которых физическая безопасность не может быть гарантирована, например в расположениях филиалов или когда локальное хранилище всех паролей домена считается основной угрозой, например в роли экстрасети или приложения.
Так как вы можете делегировать администрирование RODC пользователю домена или группе безопасности, rodC хорошо подходит для сайта, который не должен иметь пользователя, который является членом группы администраторов домена. RodC имеет следующие функции:
Содержит базу данных AD DS только для чтения
Однонаправленная репликация
Кэширование учетных данных
Разделение ролей администратора
Содержит систему доменных имен только для чтения (DNS)
Дополнительные сведения см. в разделе "Общие сведения о планировании и развертывании для контроллеров домена только для чтения".
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-521<> |
Тип | Глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Отказано в репликации паролей RODC |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | См. раздел "Отказано в репликации паролей RODC" |
Пользователи удаленного рабочего стола
Используйте группу "Пользователи удаленного рабочего стола" на сервере узла сеансов удаленных рабочих столов, чтобы предоставить пользователям и группам разрешения на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или удалить. Группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO).
Группа пользователей удаленного рабочего стола применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-555 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Пользователи удаленного управления
Члены группы пользователей удаленного управления могут получить доступ к ресурсам инструментария управления Windows (WMI) через протоколы управления, такие как WS-Management, через службу удаленного управления Windows. Доступ к ресурсам WMI применяется только к пространствам имен WMI, предоставляющим пользователю доступ.
Используйте группу "Пользователи удаленного управления", чтобы разрешить пользователям управлять серверами с помощью консоли диспетчер сервера. Используйте группу WinRMRemoteWMIUsers\_ для удаленного запуска команд Windows PowerShell.
Дополнительные сведения см. в статье "Новые возможности в MI" и "Сведения о WMI".
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-580 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Репликатор
Компьютеры, которые являются членами группы репликатора, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся в папке системного тома (папка sysvol). Каждый контроллер домена сохраняет копию папки sysvol для доступа к сетевым клиентам. FRS также может реплицировать данные для распределенной файловой системы (DFS) и синхронизировать содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки на нескольких серверах одновременно. При изменении содержимое синхронизируется сразу на сайтах и по расписанию между сайтами.
Предупреждение
В Windows Server 2008 R2 нельзя использовать FRS для репликации папок DFS или пользовательских (не sysvol) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса папки sysvol в домене, использующего FRS для репликации общего ресурса папки sysvol между контроллерами домена. Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса папки sysvol. Служба репликации DFS является заменой FRS. Репликация DFS можно использовать для репликации содержимого общей папки sysvol, папок DFS и других пользовательских (не sysvol) данных. Необходимо перенести все наборы реплик FRS, отличные от sysvol, в репликацию DFS.
Дополнительные сведения см. в разделе:
- Служба репликации файлов (FRS) устарела в Windows Server 2008 R2 (Windows)
- Общие сведения о пространствах имен DFS и репликации DFS
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-552 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |
Администраторы схемы
Члены группы администраторов схем могут изменять схему Active Directory. Эта группа существует только в корневом домене леса Active Directory доменов. Эта группа является универсальной группой, если домен находится в собственном режиме. Эта группа является глобальной группой, если домен находится в смешанном режиме.
Группа авторизована для внесения изменений схемы в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.
Любой из групп администраторов служб в корневом домене может изменить членство в этой группе. Эта группа считается учетной записью администратора службы, так как ее члены могут изменять схему, которая управляет структурой и содержимым всего каталога.
Дополнительные сведения см. в статье о схеме Active Directory?
Группа администраторов схем применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-root< domain-518> |
Тип | Универсальный (если домен находится в собственном режиме) еще глобальный |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | Администратор |
Является членом по умолчанию. | Отказано в репликации паролей RODC |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | См. раздел "Отказано в репликации паролей RODC" |
Операторы сервера
Члены группы операторов серверов могут администрировать контроллеры домена. Эта группа существует только на контроллерах домена. По умолчанию группа не имеет членов. Члены группы операторов серверов могут выполнять следующие действия: войдите на сервер в интерактивном режиме, создайте и удалите общие сетевые ресурсы, запустите и остановите службы, резервное копирование и восстановление файлов, отформатируйте жесткий диск компьютера и завершите работу компьютера. Эту группу нельзя переименовать, удалить или удалить.
По умолчанию эта встроенная группа не имеет членов. Группа имеет доступ к параметрам конфигурации сервера на контроллерах домена. Его членство контролируется администраторами служб и администраторами домена в домене, а также группой администраторов предприятия в корневом домене леса. Члены этой группы не могут изменять членства в административных группах. Эта группа считается учетной записью администратора службы, так как ее члены имеют физический доступ к контроллерам домена. Члены этой группы могут выполнять такие задачи обслуживания, как резервное копирование и восстановление, и они могут изменять двоичные файлы, установленные на контроллерах домена. См. права пользователя группы по умолчанию в следующей таблице.
Группа операторов серверов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-549 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | Разрешить вход локально: SeInteractiveLogonRight Резервное копирование файлов и каталогов: SeBackupPrivilege Изменение системного времени: SeSystemTimePrivilege Изменение часового пояса: SeTimeZonePrivilege Принудительное завершение работы из удаленной системы: SeRemoteShutdownPrivilege Восстановление файлов и каталогов: восстановление файлов и каталогов SeRestorePrivilege Завершение работы системы: SeShutdownPrivilege |
Администраторы реплики хранилища
Члены группы администраторов реплики хранилища имеют полный и неограниченный доступ ко всем функциям реплики хранилища. Группа администраторов реплик хранилища применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-582 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Системные управляемые учетные записи
Членство в группе управляемых системных учетных записей управляется системой.
Группа управляемых учетных записей системы применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-581 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Пользователи |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Серверы лицензирования сервера терминалов
Члены группы серверов лицензий сервера терминалов могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензий. Группа используется для отслеживания использования TS на пользователя. Клиент TS на пользователя предоставляет одному пользователю право доступа к экземпляру сервера терминалов с неограниченного количества клиентских компьютеров или устройств. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.
Дополнительные сведения об этой группе безопасности см. в разделе "Конфигурация группы безопасности сервера лицензирования служб терминалов".
Группа серверов лицензий сервера терминалов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-561 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
Пользователи
Члены группы "Пользователи" не могут вносить случайные или преднамеренные изменения на уровне системы. Члены этой группы могут запускать большинство приложений. После первоначальной установки операционной системы единственным членом является группа прошедших проверку подлинности пользователей. При присоединении компьютера к домену группа "Пользователи домена" добавляется в группу "Пользователи" на компьютере.
Пользователи могут выполнять такие задачи, как запуск приложения, использование локальных и сетевых принтеров, завершение работы компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые могут использовать только в том случае, если программа установки приложения поддерживает установку на пользователя. Эту группу нельзя переименовать, удалить или удалить.
Группа "Пользователи" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Эта группа безопасности включает следующие изменения с Windows Server 2008:
В Windows Server 2008 R2 в список участников по умолчанию добавлен интерактивный.
В Windows Server 2012 элемент списка по умолчанию изменился с "Пользователи домена" на нет.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-545 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Пользователи, прошедшие проверку подлинности |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | No |
Права пользователя по умолчанию | нет |
Доступ к авторизации Windows
Члены этой группы имеют доступ к вычисляемому атрибуту GroupsGlobalAndUniversal в объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) для объектов учетной записи пользователя или на объектах учетной записи компьютера в AD DS. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API ( функцию), которые считывают этот атрибут, не выполняются, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.
Группа доступа к авторизации Windows применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-32-560 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN=Builtin, DC=<domain>, DC= |
элементы по умолчанию; | Контроллеры домена предприятия |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Невозможно переместить |
Безопасно ли делегировать управление этой группой не администраторам службы? | Да |
Права пользователя по умолчанию | нет |
WinRMRemoteWMIUsers_
В Windows Server 2012 и Windows 8 вкладка "Общий доступ " была добавлена в пользовательский интерфейс расширенных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Чтобы просмотреть эти сведения, необходимо иметь следующие разрешения и членства в соответствии с версией Windows Server, на которую запущен файловый сервер.
Группа WinRMRemoteWMIUsers_ применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.
Если общая папка размещена на сервере, на котором выполняется поддерживаемая версия операционной системы:
Вы должны быть членом группы WinRMRemoteWMIUsers__ или группы BUILDIN\Administrators.
У вас должны быть разрешения на чтение для общей папки.
Если общая папка размещена на сервере под управлением версии Windows Server, которая раньше Windows Server 2012:
Вы должны быть членом группы BUILDIN\Administrators.
У вас должны быть разрешения на чтение для общей папки.
В Windows Server 2012 функция "Помощь отказано в доступе" добавляет группу прошедших проверку подлинности пользователей в локальную группу WinRMRemoteWMIUsers__. Если включена функция помощи с отказом в доступе, все прошедшие проверку подлинности пользователи с разрешениями на чтение файлового ресурса могут просматривать разрешения общей папки.
Примечание.
Группа WinRMRemoteWMIUsers__ позволяет удаленно выполнять команды Windows PowerShell. В отличие от этого, группа "Пользователи удаленного управления" обычно используется для управления серверами с помощью консоли диспетчер сервера.
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-21-domain-variable<>< RI> |
Тип | Локальная в домене |
Контейнер по умолчанию | CN=Users, DC=<domain>, DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | нет |
Защищено АдминистраторомSDHolder? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно ли делегировать управление этой группой не администраторам службы? | |
Права пользователя по умолчанию | нет |