Приложение Б. Привилегированные учетные записи и группы в Active Directory
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Приложение Б. Привилегированные учетные записи и группы в Active Directory
Учетные записи и группы привилегированных пользователей в Active Directory — это учетные записи, которым предоставляются мощные права, привилегии и разрешения, которые позволяют им выполнять практически любые действия в Active Directory и в системах, присоединенных к домену. Это приложение начинается с обсуждения прав, привилегий и разрешений, за которыми следует информация о учетных записях и группах с наивысшими привилегиями в Active Directory, то есть наиболее мощных учетных записей и групп.
Сведения также предоставляются о встроенных учетных записях и группах по умолчанию в Active Directory в дополнение к их правам. Хотя конкретные рекомендации по настройке для защиты учетных записей и групп с наивысшими привилегиями предоставляются в виде отдельных добавок, это приложение предоставляет фоновые сведения, которые помогут определить пользователей и группы, которые следует сосредоточить на защите. Это необходимо сделать, так как они могут использоваться злоумышленниками для компрометации и даже уничтожения установки Active Directory.
Права, привилегии и разрешения в Active Directory
Различия между правами, разрешениями и привилегиями могут быть запутанными и противоречивыми, даже в документации от Корпорации Майкрософт. В этом разделе описываются некоторые характеристики каждого из них, которые используются в этом документе. Эти описания не должны считаться заслуживающими доверия для другой документации Майкрософт, так как они могут использовать эти термины по-разному.
Права и привилегии
Права и привилегии фактически являются теми же системными возможностями, которые предоставляются субъектам безопасности, таким как пользователи, службы, компьютеры или группы. В интерфейсах, обычно используемых ИТ-специалистами, они обычно называются "правами" или "правами пользователя", и они часто назначаются объектами групповой политики. На следующем снимке экрана показаны некоторые из наиболее распространенных прав пользователя, которые могут быть назначены субъектам безопасности (он представляет объект групповой политики контроллеров домена по умолчанию в домене Windows Server 2012). Некоторые из этих прав применяются к Active Directory, таким как включение доверия учетных записей компьютеров и пользователей для права делегирования , а другие права применяются к операционной системе Windows, например изменение системного времени.
В интерфейсах, таких как редактор объектов групповой политики, все эти возможности, которые можно назначить, называются общими правами пользователя. Однако на самом деле некоторые права пользователей называются правами программно, а другие — программными средствами. Таблица B-1. Права пользователей и привилегии предоставляют некоторые из наиболее распространенных прав пользователей и их программных констант. Хотя групповая политика и другие интерфейсы относятся ко всем этим правам пользователя, некоторые из них программно определяются как права, а другие определяются как привилегии.
Дополнительные сведения о каждом из прав пользователя, перечисленных в следующей таблице, используйте ссылки в таблице или см . в руководстве по угрозам и контрмерам: права пользователей в руководстве по устранению угроз и уязвимостей для Windows Server 2008 R2 на сайте Microsoft TechNet. Сведения, применимые к Windows Server 2008, см. в документации по устранению угроз и уязвимостей на сайте Microsoft TechNet. На момент написания этого документа соответствующая документация для Windows Server 2012 еще не опубликована.
Примечание.
В целях этого документа термины "права" и "права пользователя" используются для идентификации прав и привилегий, если иное не указано.
Таблица B-1. Права пользователя и привилегии
Разрешения
Разрешения — это элементы управления доступом, применяемые к защищаемым объектам, таким как файловая система, реестр, служба и объекты Active Directory. Каждый защищаемый объект имеет связанный список управления доступом (ACL), содержащий записи управления доступом (ACEs), которые предоставляют или запрещают субъекты безопасности (пользователи, службы, компьютеры или группы) возможность выполнять различные операции с объектом. Например, списки управления доступом для многих объектов в Active Directory содержат acEs, которые позволяют пользователям, прошедшим проверку подлинности, читать общие сведения об объектах, но не предоставлять им возможность читать конфиденциальную информацию или изменять объекты. За исключением встроенной гостевой учетной записи каждого домена, каждый субъект безопасности, который входит в систему и проходит проверку подлинности контроллером домена в лесу Active Directory или доверенным лесом, по умолчанию добавляет идентификатор безопасности пользователей с проверкой подлинности (SID). Таким образом, пользователь, служба или учетная запись компьютера пытается считывать общие свойства объектов пользователей в домене, операция чтения выполнена успешно.
Если субъект безопасности пытается получить доступ к объекту, для которого не определены службы управления доступом, и содержит идентификатор безопасности, который присутствует в маркере доступа субъекта, субъект не может получить доступ к объекту. Кроме того, если ACE в ACL объекта содержит запись запрета для идентификатора безопасности, соответствующего маркеру доступа пользователя, ACE, как правило, переопределит конфликтующее "разрешить" ACE. Дополнительные сведения об управлении доступом в Windows см. в контроль доступа на веб-сайте MSDN.
В этом документе разрешения относятся к возможностям, которые предоставляются или запрещаются субъектам безопасности для защищаемых объектов. Всякий раз, когда существует конфликт между правом пользователя и разрешением, пользователь обычно имеет приоритет. Например, если объект в Active Directory настроен с помощью ACL, который запрещает Администратор istrator все доступы на чтение и запись к объекту, пользователь, являющийся членом группы Администратор istratorов домена, не сможет просмотреть много сведений об объекте. Однако, поскольку группа Администратор istrators предоставляет пользователю право "Взять на себя владение файлами или другими объектами", пользователь может просто взять на себя ответственность за объект, а затем переписать ACL объекта, чтобы предоставить Администратор istrator полный контроль над объектом.
Поэтому в этом документе рекомендуется избегать использования мощных учетных записей и групп для повседневного администрирования, а не пытаться ограничить возможности учетных записей и групп. Невозможно остановить определяемого пользователя, имеющего доступ к мощным учетным данным, с помощью этих учетных данных, чтобы получить доступ к любому защищаемому ресурсу.
Встроенные привилегированные учетные записи и группы
Active Directory предназначен для упрощения делегирования администрирования и принципа наименьшей привилегии при назначении прав и разрешений. Обычные пользователи, имеющие учетные записи в домене Active Directory, по умолчанию могут читать большую часть того, что хранится в каталоге, но могут изменять только очень ограниченный набор данных в каталоге. Пользователям, которым требуется дополнительная привилегия, может быть предоставлено членство в различных привилегированных группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могут выполнять задачи, которые не относятся к их обязанностям.
В Active Directory существует три встроенные группы, составляющие в каталоге группы с наивысшими привилегиями, а также четвертую группу схемы Администратор (SA):
- Корпоративные Администратор (EA)
- Доменные Администратор (DA)
- Встроенные Администратор istrator (BA)
- Схемы Администратор (SA)
Группа Администратор схемы (SA) имеет привилегии, которые, если они злоупотребляют, могут повредить или уничтожить весь лес Active Directory, но эта группа более ограничена в своих возможностях, чем группы EA, DA и BA.
В дополнение к этим четырем группам существует ряд встроенных и стандартных учетных записей и групп в Active Directory, каждый из которых предоставляет права и разрешения, позволяющие выполнять определенные административные задачи. Хотя это приложение не предоставляет тщательное обсуждение каждой встроенной или стандартной группы в Active Directory, она предоставляет таблицу групп и учетных записей, которые вы, скорее всего, увидите в своих установках.
Например, если установить Microsoft Exchange Server в лес Active Directory, в ваших доменах могут быть созданы дополнительные учетные записи и группы. В этом приложении описываются только группы и учетные записи, созданные в контейнерах встроенных и пользователей в Active Directory, на основе собственных ролей и функций. Учетные записи и группы, созданные установкой корпоративного программного обеспечения, не включаются.
Администраторы предприятия
Группа корпоративных Администратор (EA) находится в корневом домене леса, и по умолчанию он является членом встроенной группы Администратор istrators в каждом домене в лесу. Встроенная учетная запись Администратор istrator в корневом домене леса является единственным членом группы EA по умолчанию. EAs предоставляются права и разрешения, которые позволяют им влиять на изменения на уровне леса. Это изменения, влияющие на все домены в лесу, например добавление или удаление доменов, установление доверия к лесу или повышение функциональных уровней леса. В правильно разработанной и реализованной модели делегирования членство EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, таких как установка доверия к исходящему лесу.
Группа EA находится по умолчанию в контейнере Users в корневом домене леса, и это универсальная группа безопасности, если корневой домен леса не запущен в смешанном режиме Windows 2000 Server, в этом случае группа является глобальной группой безопасности. Хотя некоторые права предоставляются непосредственно группе EA, многие из прав этой группы фактически наследуются группой EA, так как она является членом группы Администратор istrators в каждом домене в лесу. Корпоративные Администратор не имеют прав по умолчанию на рабочих станциях или серверах-членах.
Администраторы домена
Каждый домен в лесу имеет собственную группу доменных Администратор (DA), которая входит в встроенную группу Администратор istratorов этого домена (BA) в дополнение к члену локальной группы Администратор istrators на каждом компьютере, присоединенном к домену. Единственный элемент группы DA по умолчанию для домена — встроенная учетная запись Администратор istrator для этого домена.
DAs являются все мощными в своих доменах, в то время как EAs имеют права на уровне леса. В правильно разработанной и реализованной модели делегирования членство в DA должно требоваться только в сценариях "разбиения", в которых требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене или когда необходимо вносить определенные изменения в области домена. Хотя собственные механизмы делегирования Active Directory позволяют делегированию в той степени, в которой можно использовать учетные записи DA только в чрезвычайных ситуациях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние приложения для ускорения процесса.
Группа DA — это глобальная группа безопасности, расположенная в контейнере Users для домена. Существует одна группа DA для каждого домена в лесу, а единственным элементом по умолчанию группы DA является встроенная учетная запись Администратор istrator домена. Так как группа DA домена вложена в группу BA домена, а также локальную группу Администратор istrators системы, DAs не только имеют разрешения, которые специально предоставляются доменным Администратор, но и наследуют все права и разрешения, предоставленные группе Администратор истаторов домена и локальным АдминистраторГруппа istrator на всех системах, присоединенных к домену.
Администраторы
Встроенная группа Администратор istrator (BA) — это локальная группа домена в встроенном контейнере домена, в котором вложены DAs и EAs, и это группа, которая предоставляет множество прямых прав и разрешений в каталоге и контроллерах домена. Однако группа Администратор istrator для домена не имеет привилегий на серверах-членах или рабочих станциях. Членство в локальной группе Администратор istrator для присоединенных к домену компьютеров является местом предоставления локальных привилегий; а группы, рассмотренные, по умолчанию являются членами всех локальных Администратор istratorов компьютеров, присоединенных к домену.
Группа Администратор istrators — это локальная группа домена в встроенном контейнере домена. По умолчанию каждая группа BA домена содержит встроенную учетную запись Администратор istrator локального домена, группу DA локального домена и группу EA корневого домена леса. Многие права пользователей в Active Directory и контроллерах домена предоставляются специально группе Администратор istrator, а не для EAs или DAs. Группа BA домена предоставляет полный контроль над большинством объектов каталога и может иметь права владения объектами каталога. Хотя группы EA и DA предоставляют определенные разрешения для определенных объектов в лесу и доменах, большая часть власти групп фактически наследуется от их членства в группах BA.
Примечание.
Хотя это конфигурации этих привилегированных групп по умолчанию, член любой из трех групп может управлять каталогом, чтобы получить членство в любой из других групп. В некоторых случаях это тривиальное значение для достижения, в то время как в других случаях сложнее, но с точки зрения потенциальной привилегии все три группы должны считаться фактически эквивалентными.
Администраторы схемы
Группа Администратор схемы (SA) — это универсальная группа в корневом домене леса и имеет только встроенную учетную запись Администратор istrator домена в качестве члена по умолчанию, аналогичной группе EA. Хотя членство в группе SA может позволить злоумышленнику компрометировать схему Active Directory, которая является платформой для всего леса Active Directory, SAs имеют несколько прав и разрешений по умолчанию за пределами схемы.
Необходимо тщательно управлять членством и отслеживать членство в группе SA, но в некоторых отношениях эта группа является "менее привилегированной", чем три наиболее привилегированные группы, описанные ранее, поскольку область его привилегий очень узки; то есть SAs не имеют прав администратора где-либо, кроме схемы.
Дополнительные встроенные и стандартные группы в Active Directory
Чтобы упростить делегирование администрирования в каталоге, Active Directory поставляется с различными встроенными и стандартными группами, которым предоставлены определенные права и разрешения. Эти группы кратко описаны в следующей таблице.
В следующей таблице перечислены встроенные и стандартные группы в Active Directory. Оба набора групп существуют по умолчанию; Однако встроенные группы расположены (по умолчанию) в встроенном контейнере в Active Directory, а группы по умолчанию находятся (по умолчанию) в контейнере Users в Active Directory. Группы в встроенном контейнере — это все локальные группы домена, а группы в контейнере "Пользователи" — это смесь локальных, глобальных и универсальных групп, а также трех отдельных учетных записей пользователей (Администратор istrator, guest и Krbtgt).
Помимо наиболее привилегированных групп, описанных ранее в этом приложении, некоторые встроенные учетные записи и группы по умолчанию предоставляют повышенные привилегии, а также должны быть защищены и использоваться только на безопасных административных узлах. Эти группы и учетные записи можно найти в затенированных строках в таблице B-1: встроенные и стандартные группы и учетные записи в Active Directory. Поскольку некоторые из этих групп и учетных записей предоставляют права и разрешения, которые могут быть неправильно использованы для компрометации Active Directory или контроллеров домена, они предоставляют дополнительные защиты, как описано в приложении C: Защищенные учетные записи и группы в Active Directory.
Таблица B-1. Встроенные учетные записи и группы по умолчанию в Active Directory
| Учетная запись или группа | Контейнер по умолчанию, область группы и тип | Описание и права пользователя по умолчанию |
|---|---|---|
| операторы помощи контроль доступа (Active Directory в Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Операторы учета | Встроенный контейнер Локальная группа безопасности домена |
Участники могут администрировать учетные записи пользователей и групп домена. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Учетная запись администратора | Контейнер users Не группа |
Встроенная учетная запись для администрирования домена. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Настройка квот памяти для процесса Локальный вход в систему Разрешить вход в систему через службу удаленных рабочих столов Архивация файлов и каталогов Обход перекрестной проверки Изменение системного времени Изменение часового пояса Создание файла подкачки Создание глобальных объектов Создание символических ссылок Отладка программ Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Принудительное удаленное завершение работы Имитация клиента после проверки подлинности Увеличение рабочего набора процесса Увеличение приоритета выполнения Загрузка и выгрузка драйверов устройств Вход в качестве пакетного задания Управление журналом аудита и безопасности Изменение параметров среды изготовителя Выполнение задач по обслуживанию томов Профилирование одного процесса Профилирование производительности системы Отключение компьютера от стыковочного узла Восстановление файлов и каталогов Завершение работы системы Смена владельцев файлов и других объектов |
| Группа администраторов | Встроенный контейнер Локальная группа безопасности домена |
Администратор istrator имеют полный и неограниченный доступ к домену. Прямые права пользователя: Доступ к этому компьютеру из сети Настройка квот памяти для процесса Локальный вход в систему Разрешить вход в систему через службу удаленных рабочих столов Архивация файлов и каталогов Обход перекрестной проверки Изменение системного времени Изменение часового пояса Создание файла подкачки Создание глобальных объектов Создание символических ссылок Отладка программ Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Принудительное удаленное завершение работы Олицетворение клиента после проверки подлинности Увеличение приоритета выполнения Загрузка и выгрузка драйверов устройств Вход в качестве пакетного задания Управление журналом аудита и безопасности Изменение параметров среды изготовителя Выполнение задач по обслуживанию томов Профилирование одного процесса Профилирование производительности системы Отключение компьютера от стыковочного узла Восстановление файлов и каталогов Завершение работы системы Смена владельцев файлов и других объектов Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Разрешенная группа репликации паролей RODC | Контейнер users Локальная группа безопасности домена |
Члены этой группы могут иметь свои пароли реплика для всех контроллеров домена только для чтения в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Операторы архива | Встроенный контейнер Локальная группа безопасности домена |
Операторы резервного копирования могут переопределить ограничения безопасности исключительно для резервного копирования или восстановления файлов. Прямые права пользователя: Локальный вход в систему Архивация файлов и каталогов Вход в качестве пакетного задания Восстановление файлов и каталогов Завершение работы системы Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Издатели сертификатов | Контейнер users Локальная группа безопасности домена |
Члены этой группы могут публиковать сертификаты в каталоге. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Доступ DCOM службы сертификации | Встроенный контейнер Локальная группа безопасности домена |
Если службы сертификатов установлены на контроллере домена (не рекомендуется), эта группа предоставляет доступ к регистрации DCOM пользователям домена и компьютерам домена. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Клонируемые контроллеры домена (AD DS в Windows Server 2012AD DS) | Контейнер users Глобальная группа безопасности |
Члены этой группы, которые являются контроллерами домена, могут быть клонированы. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Криптографические операторы | Встроенный контейнер Локальная группа безопасности домена |
Членам разрешено выполнение операций криптографии Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи отладчика | Это не является ни встроенной группой, ни встроенной группой, но при наличии в AD DS, является причиной дальнейшего изучения. | Наличие группы пользователей отладчика указывает, что средства отладки были установлены в системе в какой-то момент, независимо от того, используется ли Visual Studio, SQL, Office или другие приложения, требующие и поддерживающие среду отладки. Эта группа позволяет удаленно отлаживать доступ к компьютерам. Если эта группа существует на уровне домена, она указывает, что отладчик или приложение, содержащее отладчик, был установлен на контроллере домена. |
| Группа репликации паролей RODC отказано | Контейнер users Локальная группа безопасности домена |
Члены этой группы не могут иметь свои пароли реплика для любых контроллеров домена только для чтения в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| DHCP Administrators | Контейнер users Локальная группа безопасности домена |
Члены этой группы имеют административный доступ к службе DHCP-сервера. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи DHCP | Контейнер users Локальная группа безопасности домена |
Члены этой группы имеют доступ только для просмотра к службе DHCP-сервера. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи DCOM | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут запускать, активировать и использовать распределенные COM-объекты на этом компьютере. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| DnsAdmins | Контейнер users Локальная группа безопасности домена |
Члены этой группы имеют административный доступ к службе DNS-сервера. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| DnsUpdateProxy | Контейнер users Глобальная группа безопасности |
Члены этой группы — это DNS-клиенты, которым разрешено выполнять динамические обновления от имени клиентов, которые не могут выполнять динамические обновления. Члены этой группы обычно являются DHCP-серверами. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Администраторы домена | Контейнер users Глобальная группа безопасности |
Назначенные администраторы домена; Доменные Администратор является членом локальной группы Администратор istrators каждого компьютера, присоединенного к домену, и получают права и разрешения, предоставленные локальной группе Администратор istrator, в дополнение к группе Администратор istratorов домена. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Настройка квот памяти для процесса Локальный вход в систему Разрешить вход в систему через службу удаленных рабочих столов Архивация файлов и каталогов Обход перекрестной проверки Изменение системного времени Изменение часового пояса Создание файла подкачки Создание глобальных объектов Создание символических ссылок Отладка программ Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Принудительное удаленное завершение работы Имитация клиента после проверки подлинности Увеличение рабочего набора процесса Увеличение приоритета выполнения Загрузка и выгрузка драйверов устройств Вход в качестве пакетного задания Управление журналом аудита и безопасности Изменение параметров среды изготовителя Выполнение задач по обслуживанию томов Профилирование одного процесса Профилирование производительности системы Отключение компьютера от стыковочного узла Восстановление файлов и каталогов Завершение работы системы Смена владельцев файлов и других объектов |
| Компьютеры домена | Контейнер users Глобальная группа безопасности |
Все рабочие станции и серверы, присоединенные к домену, по умолчанию являются членами этой группы. Права прямого пользователя по умолчанию: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Контроллеры доменов | Контейнер users Глобальная группа безопасности |
Все контроллеры домена в домене. Примечание. Контроллеры домена не являются членом группы доменных компьютеров. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Гости домена | Контейнер users Глобальная группа безопасности |
Все гости в домене Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи домена | Контейнер users Глобальная группа безопасности |
Все пользователи в домене Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Корпоративные Администратор (существует только в корневом домене леса) | Контейнер users Универсальная группа безопасности |
Корпоративные Администратор имеют разрешения на изменение параметров конфигурации на уровне леса; Корпоративные Администратор является членом каждой группы Администратор istratorов каждого домена и получает права и разрешения, предоставленные этой группе. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Настройка квот памяти для процесса Локальный вход в систему Разрешить вход в систему через службу удаленных рабочих столов Архивация файлов и каталогов Обход перекрестной проверки Изменение системного времени Изменение часового пояса Создание файла подкачки Создание глобальных объектов Создание символических ссылок Отладка программ Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Принудительное удаленное завершение работы Имитация клиента после проверки подлинности Увеличение рабочего набора процесса Увеличение приоритета выполнения Загрузка и выгрузка драйверов устройств Вход в качестве пакетного задания Управление журналом аудита и безопасности Изменение параметров среды изготовителя Выполнение задач по обслуживанию томов Профилирование одного процесса Профилирование производительности системы Отключение компьютера от стыковочного узла Восстановление файлов и каталогов Завершение работы системы Смена владельцев файлов и других объектов |
| Контроллеры домена только для чтения предприятия | Контейнер users Универсальная группа безопасности |
Эта группа содержит учетные записи для всех контроллеров домена только для чтения в лесу. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Читатели журнала событий | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут считывать журналы событий на контроллерах домена. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Владельцы-создатели групповой политики | Контейнер users Глобальная группа безопасности |
Члены этой группы могут создавать и изменять объекты групповой политики в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Гость | Контейнер users Не группа |
Это единственная учетная запись в домене AD DS, в который не добавлен идентификатор безопасности прошедших проверку подлинности пользователей. Таким образом, все ресурсы, настроенные для предоставления доступа к группе прошедших проверку подлинности пользователей, не будут доступны для этой учетной записи. Это поведение не относится к членам групп "Гости домена" и "Гости", однако члены этих групп добавляют идентификатор безопасности прошедших проверку подлинности пользователей в маркеры доступа. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Обход проходной проверки Увеличение рабочего набора процесса |
| Гости | Встроенный контейнер Локальная группа безопасности домена |
Гости имеют тот же доступ, что и члены группы пользователей по умолчанию, за исключением гостевой учетной записи, которая также ограничена, как описано ранее. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Hyper-V Администратор istrator (Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| IIS_IUSRS | Встроенный контейнер Локальная группа безопасности домена |
Встроенная группа, которую используют службы IIS Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Построитель доверия входящего леса (существует только в корневом домене леса) | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут создавать входящие, односторонние отношения доверия к этому лесу. (Создание доверия исходящих лесов зарезервировано для корпоративных Администратор.) Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Krbtgt | Контейнер users Не группа |
Учетная запись Krbtgt — это учетная запись службы центра распространения ключей Kerberos в домене. Эта учетная запись имеет доступ ко всем учетным данным учетных записей, хранящимся в Active Directory. Эта учетная запись отключена по умолчанию и никогда не должна быть включена Права пользователя: N/A |
| Операторы настройки сети | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы предоставляются привилегии, позволяющие им управлять конфигурацией сетевых функций. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи журналов производительности | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут планировать ведение журнала счетчиков производительности, включать поставщики трассировок трассировки и собирать трассировки событий локально и через удаленный доступ к компьютеру. Прямые права пользователя: Вход в качестве пакетного задания Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи монитора производительности | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут получать доступ к данным счетчика производительности локально и удаленно. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Доступ, совместимый с Windows 2000 | Встроенный контейнер Локальная группа безопасности домена |
Эта группа существует для обеспечения обратной совместимости с операционными системами до Windows 2000 Server, а также позволяет членам читать сведения о пользователях и группах в домене. Прямые права пользователя: Доступ к этому компьютеру из сети Обход проходной проверки Унаследованные права пользователя: Добавление рабочих станций к домену Увеличение рабочего набора процесса |
| Операторы печати | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут администрировать принтеры домена. Прямые права пользователя: Локальный вход в систему Загрузка и выгрузка драйверов устройств Завершение работы системы Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Серверы RAS и IAS | Контейнер users Локальная группа безопасности домена |
Серверы в этой группе могут считывать свойства удаленного доступа в учетных записях пользователей в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Серверы конечных точек RDS (Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Серверы в этой группе выполняют виртуальные машины и сеансы узлов, где пользователи программы RemoteApp и личные виртуальные рабочие столы выполняются. Эта группа должна быть заполнена на серверах под управлением брокера Подключение удаленных рабочих столах. Серверы узла сеансов удаленных рабочих стола и серверы узла виртуализации удаленных рабочих машин, используемые в развертывании, должны находиться в этой группе. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Серверы управления RDS (Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Серверы в этой группе могут выполнять обычные административные действия на серверах с службами удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых работает служба центра управления RDS, должны быть включены в эту группу. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Серверы удаленного доступа RDS (Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях, подключенных к Интернету, эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах под управлением брокера Подключение удаленных рабочих столах. Серверы шлюза удаленных рабочих столов и серверы веб-доступа удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Контроллеры домена только для чтения | Контейнер users Глобальная группа безопасности |
Эта группа содержит все контроллеры домена только для чтения в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи удаленного рабочего стола | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы предоставляют право на удаленный вход с помощью RDP. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи удаленного управления (Windows Server 2012) | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут получить доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Репликатор | Встроенный контейнер Локальная группа безопасности домена |
Поддерживает реплика устаревших файлов в домене. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Схемы Администратор (существует только в корневом домене леса) | Контейнер users Универсальная группа безопасности |
Администраторы схемы — это единственные пользователи, которые могут вносить изменения в схему Active Directory и только в том случае, если схема включена для записи. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Операторы сервера | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут администрировать контроллеры домена. Прямые права пользователя: Локальный вход в систему Архивация файлов и каталогов Изменение системного времени Изменение часового пояса Принудительное удаленное завершение работы Восстановление файлов и каталогов Завершение работы системы Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Серверы лицензирования сервера терминалов | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензий для отслеживания и создания отчетов об использовании TS на пользователя CAL Права прямого пользователя по умолчанию: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| Пользователи | Встроенный контейнер Локальная группа безопасности домена |
У пользователей есть разрешения, позволяющие им считывать много объектов и атрибутов в Active Directory, хотя они не могут изменить большинство. Пользователи не могут вносить случайные или преднамеренные изменения на уровне системы и могут запускать большинство приложений. Прямые права пользователя: Увеличение рабочего набора процесса Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки |
| Группа доступа Windows | Встроенный контейнер Локальная группа безопасности домена |
Члены этой группы имеют доступ к вычисляемому атрибуту tokenGroupsGlobalAndUniversal в объектах User Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Контейнер users Локальная группа безопасности домена |
Члены этой группы могут получить доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю. Права прямого пользователя: Нет Унаследованные права пользователя: Доступ к этому компьютеру из сети Добавление рабочих станций к домену Обход проходной проверки Увеличение рабочего набора процесса |