Приложение Б. Привилегированные учетные записи и группы в Active DirectoryAppendix B: Privileged Accounts and Groups in Active Directory

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Б. Привилегированные учетные записи и группы в Active DirectoryAppendix B: Privileged Accounts and Groups in Active Directory

"Привилегированные" учетные записи и группы в Active Directory — это те, для которых предоставляются эффективные права, привилегии и разрешения, позволяющие им выполнять практически любое действие в Active Directory и в системах, присоединенных к домену."Privileged" accounts and groups in Active Directory are those to which powerful rights, privileges, and permissions are granted that allow them to perform nearly any action in Active Directory and on domain-joined systems. В этом приложении рассматриваются права, привилегии и разрешения, а также сведения об учетных записях и группах с наивысшими правами в Active Directory, то есть самых мощных учетных записях и группах.This appendix begins by discussing rights, privileges, and permissions, followed by information about the "highest privilege" accounts and groups in Active Directory,that is, the most powerful accounts and groups.

Также предоставляются сведения о встроенных и стандартных учетных записях и группах по умолчанию Active Directory в дополнение к их правам.Information is also provided about built-in and default accounts and groups in Active Directory, in addition to their rights. Хотя конкретные рекомендации по конфигурации для защиты учетных записей с наивысшими привилегиями и групп предоставляются в виде отдельных приложений, в этом приложении содержатся общие сведения, помогающие найти пользователей и группы, на которые следует обратить внимание при защите.Although specific configuration recommendations for securing the highest privilege accounts and groups are provided as separate appendices, this appendix provides background information that helps you identify the users and groups you should focus on securing. Это необходимо сделать, так как они могут быть использованы злоумышленниками для компрометации и даже уничтожения установки Active Directory.You should do so because they can be leveraged by attackers to compromise and even destroy your Active Directory installation.

Права, права доступа и разрешения в Active DirectoryRights, Privileges, and Permissions in Active Directory

Различия между правами, разрешениями и привилегиями могут быть запутанными и противоречивыми, даже внутри документации Майкрософт.The differences between rights, permissions, and privileges can be confusing and contradictory, even within documentation from Microsoft. В этом разделе описаны некоторые характеристики каждого из них, как они используются в этом документе.This section describes some of the characteristics of each as they are used in this document. Эти описания не следует рассматривать как полномочные для других документов Майкрософт, так как они могут использовать эти условия по-разному.These descriptions should not be considered authoritative for other Microsoft documentation, because it may use these terms differently.

Права и привилегииRights and Privileges

Права и привилегии фактически являются теми же возможностями на уровне системы, которые предоставляются субъектам безопасности, таким как пользователи, службы, компьютеры или группы.Rights and privileges are effectively the same system-wide capabilities that are granted to security principals such as users, services, computers, or groups. В интерфейсах, обычно используемых ИТ-специалистами, они обычно называются "права доступа" или "права пользователя" и часто назначаются групповая политикаными объектами.In interfaces typically used by IT professionals, these are usually referred to as "rights" or "user rights," and they are often assigned by Group Policy Objects. На следующем снимке экрана показаны некоторые наиболее распространенные права пользователя, которые могут быть назначены субъектам безопасности (он представляет объект групповой политики контроллеров домена по умолчанию в домене Windows Server 2012).The following screenshot shows some of the most common user rights that can be assigned to security principals (it represents the Default Domain Controllers GPO in a Windows Server 2012 domain). Некоторые из этих прав применяются к Active Directory, например разрешение учетных записей компьютера и пользователя для делегирования прав пользователя, а другие права применяются к операционной системе Windows, например изменение системного времени.Some of these rights apply to Active Directory, such as the Enable computer and user accounts to be trusted for delegation user right, while other rights apply to the Windows operating system, such as Change the system time.

привилегированные учетные записи и группы

В таких интерфейсах, как редактор объектов групповой политики, все эти возможности могут быть широко распространены как права пользователя.In interfaces such as the Group Policy Object Editor, all of these assignable capabilities are referred to broadly as user rights. В реальности некоторые права пользователя программными средствами называются правами, а другие — как привилегии.In reality however, some user rights are programmatically referred to as rights, while others are programmatically referred to as privileges. Таблица B-1. права и привилегии пользователя предоставляют некоторые наиболее распространенные права, назначаемые пользователям, и их программные константы.Table B-1: User Rights and Privileges provides some of the most common assignable user rights and their programmatic constants. Хотя групповая политика и другие интерфейсы ссылаются на все эти права пользователя, некоторые из них программно определяют как права, а другие определяются как привилегии.Although Group Policy and other interfaces refer to all of these as user rights, some are programmatically identified as rights, while others are defined as privileges.

Для получения дополнительных сведений о каждом из прав пользователя, перечисленных в следующей таблице, используйте ссылки в таблице или руководство по устранению угроз и контрмер для Windows Server 2008 R2 на сайте Microsoft TechNet.For more information about each of the user rights listed in the following table, use the links in the table or see Threats and Countermeasures Guide: User Rights in the Threats and Vulnerabilities Mitigation guide for Windows Server 2008 R2 on the Microsoft TechNet site. Сведения, применимые к Windows Server 2008 , см. в документации по предотвращению угроз и уязвимостей на веб-узле Microsoft TechNet.For information applicable to Windows Server 2008, please see User Rights in the Threats and Vulnerabilities Mitigation documentation on the Microsoft TechNet site. На момент написания этого документа соответствующая документация для Windows Server 2012 еще не опубликована.As of the writing of this document, corresponding documentation for Windows Server 2012 is not yet published.

Примечание

Для целей этого документа условия "права" и "права пользователя" используются для идентификации прав и привилегий, если не указано иное.For the purposes of this document, the terms "rights" and "user rights" are used to identify rights and privileges unless otherwise specified.

Таблица B-1. права и привилегии пользователяTable B-1: User Rights and Privileges
Право пользователя в групповая политикаUser Right in Group Policy Имя константыName of Constant
Доступ к диспетчеру учетных данных от имени доверенного вызывающегоAccess Credential Manager as a trusted caller сетрустедкредманакцесспривилежеSeTrustedCredManAccessPrivilege
Доступ к этому компьютеру из сетиAccess this computer from the network SeNetworkLogonRightSeNetworkLogonRight
работа в качества части операционной системы;Act as part of the operating system SeTcbPrivilegeSeTcbPrivilege
Добавление рабочих станций к доменуAdd workstations to domain семачинеаккаунтпривилежеSeMachineAccountPrivilege
Назначение квот памяти процессамAdjust memory quotas for a process SeIncreaseQuotaPrivilegeSeIncreaseQuotaPrivilege
Локальный вход в системуAllow log on locally SeInteractiveLogonRightSeInteractiveLogonRight
Разрешить вход в систему через службы терминаловAllow log on through Terminal Services серемотеинтерактивелогонригхтSeRemoteInteractiveLogonRight
Резервное копирование файлов и каталоговBack up files and directories SeBackupPrivilegeSeBackupPrivilege
Обход проходной проверкиBypass traverse checking SeChangeNotifyPrivilegeSeChangeNotifyPrivilege
Изменение системного времениChange the system time сесистемтимепривилежеSeSystemtimePrivilege
Изменение часового поясаChange the time zone сетимезонепривилежеSeTimeZonePrivilege
Создание файла подкачкиCreate a pagefile секреатепажефилепривилежеSeCreatePagefilePrivilege
Создание объекта TokenCreate a token object секреатетокенпривилежеSeCreateTokenPrivilege
Создание глобальных объектовCreate global objects секреатеглобалпривилежеSeCreateGlobalPrivilege
Создание постоянных общих объектовCreate permanent shared objects секреатеперманентпривилежеSeCreatePermanentPrivilege
Создание символических ссылокCreate symbolic links секреатесимболиклинкпривилежеSeCreateSymbolicLinkPrivilege
Отладка программDebug programs SeBackupPrivilegeSeDebugPrivilege
Запретить сетевой доступ к этому компьютеру.Deny access to this computer from the network седенинетворклогонригхтSeDenyNetworkLogonRight
Запретить вход в систему в качестве пакетного заданияDeny log on as a batch job седенибатчлогонригхтSeDenyBatchLogonRight
Отказать во входе в качестве службыDeny log on as a service седенисервицелогонригхтSeDenyServiceLogonRight
Запретить локальный входDeny log on locally седенинтерактивелогонригхтSeDenyInteractiveLogonRight
Запретить вход в систему через службы терминаловDeny log on through Terminal Services седениремотеинтерактивелогонригхтSeDenyRemoteInteractiveLogonRight
Разрешение доверия учетных записей компьютеров и пользователей для делегированияEnable computer and user accounts to be trusted for delegation SeEnableDelegationPrivilegeSeEnableDelegationPrivilege
Принудительное удаленное завершение работыForce shutdown from a remote system серемотешутдовнпривилежеSeRemoteShutdownPrivilege
Создание аудитов безопасностиGenerate security audits SeAuditPrivilegeSeAuditPrivilege
Олицетворять клиента после проверки подлинностиImpersonate a client after authentication SeImpersonatePrivilegeSeImpersonatePrivilege
Увеличение рабочего набора процессаIncrease a process working set SeIncreaseWorkingSetPrivilegeSeIncreaseWorkingSetPrivilege
Увеличение приоритета выполненияIncrease scheduling priority SeIncreaseBasePriorityPrivilegeSeIncreaseBasePriorityPrivilege
Загрузка и выгрузка драйверов устройствLoad and unload device drivers селоаддриверпривилежеSeLoadDriverPrivilege
Блокировка страниц в памятиLock pages in memory SeLockMemoryPrivilegeSeLockMemoryPrivilege
Вход в качестве пакетного заданияLog on as a batch job SeBatchLogonRightSeBatchLogonRight
Вход в систему в качестве службы.Log on as a service SeServiceLogonRightSeServiceLogonRight
Управление аудитом и журналом безопасностиManage auditing and security log SeSecurityPrivilegeSeSecurityPrivilege
Изменение метки объектаModify an object label серелабелпривилежеSeRelabelPrivilege
Изменение значений среды встроенного поModify firmware environment values сесистеменвиронментпривилежеSeSystemEnvironmentPrivilege
Выполнение задач по обслуживанию томовPerform volume maintenance tasks семанажеволумепривилежеSeManageVolumePrivilege
Профилирование одного процессаProfile single process сепрофилесинглепроцесспривилежеSeProfileSingleProcessPrivilege
Профилирование производительности системыProfile system performance сесистемпрофилепривилежеSeSystemProfilePrivilege
Отключение компьютера от стыковочного узлаRemove computer from docking station сеундоккпривилежеSeUndockPrivilege
Замена маркера уровня процессаReplace a process level token SeAssignPrimaryTokenPrivilegeSeAssignPrimaryTokenPrivilege
Восстановление файлов и каталоговRestore files and directories сересторепривилежеSeRestorePrivilege
Завершение работы системыShut down the system сешутдовнпривилежеSeShutdownPrivilege
Синхронизация данных службы каталоговSynchronize directory service data сесинкажентпривилежеSeSyncAgentPrivilege
Стать владельцем файлов или других объектовTake ownership of files or other objects сетакеовнершиппривилежеSeTakeOwnershipPrivilege

РазрешенияPermissions

Разрешения — это элементы управления доступом, применяемые к защищаемым объектам, таким как файловая система, реестр, служба и Active Directory объекты.Permissions are access controls that are applied to securable objects such as the file system, registry, service, and Active Directory objects. С каждым защищаемым объектом связан список управления доступом (ACL), который содержит записи контроля доступа (ACE), предоставляющие или запрещающие субъектам безопасности (пользователям, службам, компьютерам или группам) возможность выполнять различные операции с объектом.Each securable object has an associated access control list (ACL), which contains access control entries (ACEs) that grant or deny security principals (users, services, computers, or groups) the ability to perform various operations on the object. Например, списки ACL для многих объектов в Active Directory содержат ACE, которые позволяют прошедшим проверку подлинности пользователям считывать общие сведения об объектах, но не дают им возможности читать конфиденциальные сведения или изменять объекты.For example, the ACLs for many objects in Active Directory contain ACEs that allow Authenticated Users to read general information about the objects, but do not grant them the ability to read sensitive information or to change the objects. За исключением встроенной гостевой учетной записи каждого домена, каждый субъект безопасности, который входит в систему и проходит проверку подлинности контроллером домена в Active Directory лесу или в доверенном лесу, по умолчанию добавляется идентификатор безопасности, прошедший проверку подлинности пользователей, в маркер доступа.With the exception of each domain's built-in Guest account, every security principal that logs on and is authenticated by a domain controller in an Active Directory forest or a trusted forest has the Authenticated Users Security Identifier (SID) added to its access token by default. Таким образом, если пользователь, служба или учетная запись компьютера пытается прочитать общие свойства объектов-пользователей в домене, операция чтения будет успешной.Therefore, whether a user, service, or computer account attempts to read general properties on user objects in a domain, the read operation is successful.

Если участник безопасности пытается получить доступ к объекту, для которого не определены элементы ACE и он содержит идентификатор безопасности, имеющийся в маркере доступа участника, он не может получить доступ к объекту.If a security principal attempts to access an object for which no ACEs are defined and that contain a SID that is present in the principal's access token, the principal cannot access the object. Кроме того, если элемент управления доступом в списке ACL объекта содержит запись запрета для идентификатора безопасности, соответствующего маркеру доступа пользователя, элемент ACE "deny" обычно переопределяет конфликтующую запись ACE "Allow".Moreover, if an ACE in an object's ACL contains a deny entry for a SID that matches the user's access token, the "deny" ACE will generally override a conflicting "allow" ACE. Дополнительные сведения об управлении доступом в Windows см. в разделе Контроль доступа на веб-сайте MSDN.For more information about access control in Windows, see Access Control on the MSDN website.

В этом документе разрешения относятся к возможностям, которые предоставляются или отклоняются субъектам безопасности защищаемых объектов.Within this document, permissions refers to capabilities that are granted or denied to security principals on securable objects. При возникновении конфликта между правым пользователем и разрешением пользователь обычно имеет приоритет.Whenever there is a conflict between a user right and a permission, the user right generally takes precedence. Например, если объект в Active Directory настроен с ACL, который запрещает администраторам доступ на чтение и запись к объекту, пользователь, который является членом группы администраторов домена, не сможет просматривать подробные сведения об объекте.For example, if an object in Active Directory has been configured with an ACL that denies Administrators all read and write access to an object, a user who is a member of the domain's Administrators group will be unable to view much information about the object. Тем не менее, поскольку группе «Администраторы» предоставлено право «стать владельцем файлов или других объектов», пользователь может просто стать владельцем объекта, а затем переписать список ACL объекта, чтобы предоставить администраторам полный контроль над объектом.However, because the Administrators group is granted the user right "Take ownership of files or other objects," the user can simply take ownership of the object in question, then rewrite the object's ACL to grant Administrators full control of the object.

Именно по этой причине этот документ позволяет избежать использования мощных учетных записей и групп для повседневного администрирования, а не ограничивать возможности учетных записей и групп.It is for this reason that this document encourages you to avoid using powerful accounts and groups for day-to-day administration, rather than trying to restrict the capabilities of the accounts and groups. Невозможно присвоить определенному пользователю доступ к мощным учетным данным, используя эти учетные данные для получения доступа к любому защищаемому ресурсу.It is not effectively possible to stop a determined user who has access to powerful credentials from using those credentials to gain access to any securable resource.

Встроенные привилегированные учетные записи и группыBuilt-in Privileged Accounts and Groups

Active Directory предназначено для упрощения делегирования администрирования и принципа наименьших привилегий при назначении прав и разрешений.Active Directory is intended to facilitate delegation of administration and the principle of least privilege in assigning rights and permissions. Обычные пользователи, у которых есть учетные записи в домене Active Directory, по умолчанию могут читать значительную часть данных, хранящихся в каталоге, но могут изменять только очень ограниченный набор в каталоге."Regular" users who have accounts in an Active Directory domain are, by default, able to read much of what is stored in the directory, but are able to change only a very limited set of data in the directory. Пользователям, которым требуется дополнительная привилегия, можно предоставить членство в различных привилегированных группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могут выполнять задачи, не относящиеся к их обязанностям.Users who require additional privilege can be granted membership in various privileged groups that are built into the directory so that they may perform specific tasks related to their roles, but cannot perform tasks that are not relevant to their duties.

В Active Directory есть три встроенных группы, которые составляют наивысшие права доступа в каталоге: Группа администраторов предприятия (EA), Группа администраторов домена (DA) и встроенная группа Администраторы (BA).Within Active Directory, there are three built-in groups that comprise the highest privilege groups in the directory: the Enterprise Admins (EA) group, the Domain Admins (DA) group, and the built-in Administrators (BA) group.

Четвертая группа, Группа администраторов схемы (SA), имеет привилегии, которые, в случае нарушения, могут повредить или уничтожить весь Active Directory лес, но эта группа более ограничена в ее возможностях, чем группы EA, DA и BA.A fourth group, the Schema Admins (SA) group, has privileges that, if abused, can damage or destroy an entire Active Directory forest, but this group is more restricted in its capabilities than the EA, DA, and BA groups.

Помимо этих четырех групп, существует ряд дополнительных встроенных учетных записей и групп по умолчанию в Active Directory, каждый из которых предоставляет права и разрешения, позволяющие выполнять определенные задачи администрирования.In addition to these four groups, there are a number of additional built-in and default accounts and groups in Active Directory, each of which is granted rights and permissions that allow specific administrative tasks to be performed. Хотя это приложение не предоставляет подробного описания всех встроенных или групп по умолчанию в Active Directory, оно предоставляет таблицу групп и учетных записей, которые, скорее всего, будут отображаться в установках.Although this appendix does not provide a thorough discussion of every built-in or default group in Active Directory, it does provide a table of the groups and accounts that you're most likely to see in your installations.

Например, при установке Microsoft Exchange Server в лес Active Directory можно создавать дополнительные учетные записи и группы во встроенных контейнерах и в доменах пользователей.For example, if you install Microsoft Exchange Server into an Active Directory forest, additional accounts and groups may be created in the Built-in and Users containers in your domains. В этом приложении описываются только группы и учетные записи, созданные во встроенных контейнерах и в Active Directory, на основе собственных ролей и компонентов.This appendix describes only the groups and accounts that are created in the Built-in and Users containers in Active Directory, based on native roles and features. Учетные записи и группы, созданные при установке корпоративного программного обеспечения, не включены.Accounts and groups that are created by the installation of enterprise software are not included.

Администраторы предприятияEnterprise Admins

Группа администраторов предприятия (EA) находится в корневом домене леса, и по умолчанию она является членом встроенной группы администраторов в каждом домене леса.The Enterprise Admins (EA) group is located in the forest root domain, and by default, it is a member of the built-in Administrators group in every domain in the forest. Встроенная учетная запись администратора в корневом домене леса является единственным элементом по умолчанию группы EA.The Built-in Administrator account in the forest root domain is the only default member of the EA group. EAs предоставляет права и разрешения, которые позволяют им влиять на изменения на уровне леса.EAs are granted rights and permissions that allow them to affect forest-wide changes. Это изменения, влияющие на все домены в лесу, такие как добавление или удаление доменов, установка доверий лесов или повышение функциональных уровней леса.These are changes that affect all domains in the forest, such as adding or removing domains, establishing forest trusts, or raising forest functional levels. В правильно спроектированной и реализованной модели делегирования членство в EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, например при установлении отношения доверия с исходящим лесом.In a properly designed and implemented delegation model, EA membership is required only when first constructing the forest or when making certain forest-wide changes such as establishing an outbound forest trust.

Группа EA по умолчанию находится в контейнере Пользователи в корневом домене леса и является универсальной группой безопасности, если корневой домен леса не работает в смешанном режиме сервера Windows 2000, в этом случае группа является глобальной группой безопасности.The EA group is located by default in the Users container in the forest root domain, and it is a universal security group, unless the forest root domain is running in Windows 2000 Server mixed mode, in which case the group is a global security group. Хотя некоторые права предоставляются непосредственно группе EA, многие права этой группы на самом деле наследуются группой EA, так как она является членом группы администраторов в каждом домене леса.Although some rights are granted directly to the EA group, many of this group's rights are actually inherited by the EA group because it is a member of the Administrators group in each domain in the forest. Администраторы предприятия не имеют прав по умолчанию на рабочих станциях или рядовых серверах.Enterprise Admins have no default rights on workstations or member servers.

Администраторы доменаDomain Admins

Каждый домен в лесу имеет собственную группу администраторов домена (DA), которая является членом встроенной группы администраторов домена (BA), а также членом локальной группы администраторов на каждом компьютере, присоединенном к домену.Each domain in a forest has its own Domain Admins (DA) group, which is a member of that domain's built-in Administrators (BA) group in addition to a member of the local Administrators group on every computer that is joined to the domain. Единственным элементом по умолчанию группы DA для домена является встроенная учетная запись администратора для этого домена.The only default member of the DA group for a domain is the Built-in Administrator account for that domain.

DAs является мощным в своих доменах, в то время как EAs имеет права уровня леса.DAs are all-powerful within their domains, while EAs have forest-wide privilege. В правильно спроектированной и реализованной модели делегирования, членство в DA должно быть обязательным только в сценариях "прозрачное стекло", которые представляют собой ситуации, в которых требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене или когда необходимо внести определенные изменения в масштабах домена.In a properly designed and implemented delegation model, DA membership should be required only in "break glass" scenarios, which are situations in which an account with high levels of privilege on every computer in the domain is needed, or when certain domain wide changes must be made. Несмотря на то, что собственные механизмы делегирования Active Directory разрешают делегирование в ту степень, что можно использовать учетные записи DA только в экстренных сценариях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние приложения для ускорения процесса.Although native Active Directory delegation mechanisms do allow delegation to the extent that it is possible to use DA accounts only in emergency scenarios, constructing an effective delegation model can be time consuming, and many organizations use third-party applications to expedite the process.

Группа DA — это глобальная группа безопасности, расположенная в контейнере Users для домена.The DA group is a global security group located in the Users container for the domain. Для каждого домена в лесу существует одна группа DA, а единственным членом группы DA является встроенная учетная запись администратора домена.There is one DA group for each domain in the forest, and the only default member of a DA group is the domain's Built-in Administrator account. Так как группа DA домена вложена в группу Ба домена и каждая локальная группа администраторов системы, присоединенной к домену, DAs не имеет разрешений, специально предоставленных администраторам домена, но они также наследуют все права и разрешения, предоставленные группе администраторов домена, и локальной группе администраторов во всех системах, присоединенных к домену.Because a domain's DA group is nested in the domain's BA group and every domain-joined system's local Administrators group, DAs not only have permissions that are specifically granted to Domain Admins, but they also inherit all rights and permissions granted to the domain's Administrators group and the local Administrators group on all systems joined to the domain.

АдминистраторыAdministrators

Встроенная группа администраторов (BA) — это локальная группа домена в встроенном контейнере домена, в которой DAs и EAs являются вложенными, и это группа, которой предоставлено множество прямых прав и разрешений в каталоге и на контроллерах домена.The built-in Administrators (BA) group is a domain local group in a domain's Built-in container into which DAs and EAs are nested, and it is this group that is granted many of the direct rights and permissions in the directory and on domain controllers. Однако Группа администраторов для домена не имеет никаких привилегий на рядовых серверах или на рабочих станциях.However, the Administrators group for a domain does not have any privileges on member servers or on workstations. Членство в локальной группе администраторов компьютеров, присоединенных к домену, заключается в том, где предоставляется локальная привилегия. и из обсуждаемых групп только DAs является членами всех локальных групп администраторов компьютеров, присоединенных к домену, по умолчанию.Membership in domain-joined computers' local Administrators group is where local privilege is granted; and of the groups discussed, only DAs are members of all domain-joined computers' local Administrators groups by default.

Группа администраторов — это локальная группа домена в встроенном контейнере домена.The Administrators group is a domain-local group in the domain's Built-in container. По умолчанию группа Ба каждого домена содержит встроенную учетную запись администратора локального домена, группу DA локального домена и группу EA домена леса.By default, every domain's BA group contains the local domain's Built-in Administrator account, the local domain's DA group, and the forest root domain's EA group. Многие права пользователей в Active Directory и на контроллерах домена предоставляются специально для группы «Администраторы», а не для EAs или DAs.Many user rights in Active Directory and on domain controllers are granted specifically to the Administrators group, not to EAs or DAs. Группа Ба домена предоставляет разрешения на полный доступ для большинства объектов каталога и может стать владельцем объектов каталога.A domain's BA group is granted full control permissions on most directory objects, and can take ownership of directory objects. Несмотря на то что группам EA и DA предоставляются определенные разрешения для конкретного объекта в лесу и доменах, большая часть возможностей групп фактически наследуется от членства в группах ба.Although EA and DA groups are granted certain object-specific permissions in the forest and domains, much of the power of groups is actually "inherited" from their membership in BA groups.

Примечание

Хотя эти группы являются конфигурациями по умолчанию для этих привилегированных групп, член любой из трех групп может управлять каталогом, чтобы получить членство в любой из других групп.Although these are the default configurations of these privileged groups, a member of any one of the three groups can manipulate the directory to gain membership in any of the other groups. В некоторых случаях это тривиальным способом, а в других — более сложная задача, но с точки зрения потенциального права все три группы должны считаться фактически эквивалентными.In some cases, it is trivial to achieve, while in others it is more difficult, but from the perspective of potential privilege, all three groups should be considered effectively equivalent.

Администраторы схемыSchema Admins

Группа Администраторы схемы (SA) является универсальной группой в корневом домене леса и имеет только встроенную учетную запись администратора домена в качестве члена по умолчанию, аналогичную группе EA.The Schema Admins (SA) group is a universal group in the forest root domain and has only that domain's Built-in Administrator account as a default member, similar to the EA group. Хотя членство в группе SA может позволить злоумышленнику нарушить безопасность схемы Active Directory, которая является платформой для всего Active Directory леса, SAs имеет несколько прав и разрешений по умолчанию, помимо схемы.Although membership in the SA group can allow an attacker to compromise the Active Directory schema, which is the framework for the entire Active Directory forest, SAs have few default rights and permissions beyond the schema.

Следует тщательно управлять членством в группе SA и отслеживать их, но в некоторых отношениях эта группа является «менее привилегированными», чем три наиболее привилегированные группы, описанные выше, так как область ее привилегий очень мала. то есть SAs не имеет прав администратора в любом месте, Кроме схемы.You should carefully manage and monitor membership in the SA group, but in some respects, this group is "less privileged" than the three highest privileged groups described earlier because the scope of its privilege is very narrow; that is, SAs have no administrative rights anywhere other than the schema.

Дополнительные встроенные и стандартные группы в Active DirectoryAdditional Built-in and Default Groups in Active Directory

Чтобы упростить делегирование администрирования в каталоге, Active Directory поставляется с различными встроенными и группами по умолчанию, которым были предоставлены определенные права и разрешения.To facilitate delegating administration in the directory, Active Directory ships with various built-in and default groups that have been granted specific rights and permissions. Эти группы описаны вкратце в следующей таблице.These groups are described briefly in the following table.

В следующей таблице перечислены встроенные и стандартные группы в Active Directory.The following table lists the built-in and default groups in Active Directory. Оба набора групп существуют по умолчанию; Однако встроенные группы расположены (по умолчанию) во встроенном контейнере в Active Directory, тогда как группы по умолчанию находятся в контейнере "Пользователи" в Active Directory.Both sets of groups exist by default; however, built-in groups are located (by default) in the Built-in container in Active Directory, while default groups are located (by default) in the Users container in Active Directory. Группы во встроенном контейнере — это все локальные группы домена, а группы в контейнере пользователей — это смесь локальных, глобальных и универсальных групп домена, а также трех отдельных учетных записей пользователей (администратор, гость и KRBTGT).Groups in the Built-in container are all Domain Local groups, while groups in the Users container are a mixture of Domain Local, Global, and Universal groups, in addition to three individual user accounts (Administrator, Guest, and Krbtgt).

В дополнение к самым высоким привилегированным группам, описанным выше в этом приложении, некоторым встроенным учетным записям и группам по умолчанию предоставляются повышенные привилегии, которые также должны быть защищены и использоваться только на защищенных узлах администрирования.In addition to the highest privileged groups described earlier in this appendix, some built-in and default accounts and groups are granted elevated privileges and should also be protected and used only on secure administrative hosts. Эти группы и учетные записи можно найти в затененных строках в таблице B-1: встроенные и группы по умолчанию и учетные записи в Active Directory.These groups and accounts can be found in the shaded rows in Table B-1: Built-in and Default Groups and Accounts in Active Directory. Поскольку некоторые из этих групп и учетных записей получают права и разрешения, которые могут быть ненадежными для взлома Active Directory или контроллеров домена, они обладают дополнительными защитами, как описано в приложении C: защищенные учетные записи и группы в Active Directory.Because some of these groups and accounts are granted rights and permissions that can be misused to compromise Active Directory or domain controllers, they are afforded additional protections as described in Appendix C: Protected Accounts and Groups in Active Directory.

Таблица B-1. встроенные учетные записи и группы по умолчанию в Active DirectoryTable B-1: Built-in and Default Accounts and Groups in Active Directory
Учетная запись или группаAccount or Group Контейнер по умолчанию, область и тип группыDefault Container, Group Scope and Type Описание и права пользователя по умолчаниюDescription and Default User Rights
Операторы поддержки контроля доступа (Active Directory в Windows Server 2012)Access Control Assistance Operators (Active Directory in Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.Members of this group can remotely query authorization attributes and permissions for resources on this computer.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Операторы учетаAccount Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Участники могут администрировать учетные записи пользователей и групп домена.Members can administer domain user and group accounts.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Учетная запись администратораAdministrator account Контейнер usersUsers container

Не группаNot a group

Встроенная учетная запись для администрирования домена.Built-in account for administering the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Настройка квот памяти для процессаAdjust memory quotas for a process

Локальный вход в системуAllow log on locally

Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services

Архивация файлов и каталоговBack up files and directories

Обход перекрестной проверкиBypass traverse checking

Изменение системного времениChange the system time

Изменение часового поясаChange the time zone

Создание файла подкачкиCreate a pagefile

Создание глобальных объектовCreate global objects

Создание символических ссылокCreate symbolic links

Отладка программDebug programs

Разрешение доверия к учетным записям компьютеров и пользователей при делегированииEnable computer and user accounts to be trusted for delegation

Принудительное удаленное завершение работыForce shutdown from a remote system

олицетворение клиента после проверки подлинности;Impersonate a client after authentication

Увеличение рабочего набора процессаIncrease a process working set

Увеличение приоритета выполненияIncrease scheduling priority

Загрузка и выгрузка драйверов устройствLoad and unload device drivers

Вход в качестве пакетного заданияLog on as a batch job

Управление аудитом и журналом безопасностиManage auditing and security log

Изменение параметров среды изготовителяModify firmware environment values

Выполнение задач по обслуживанию томовPerform volume maintenance tasks

Профилирование одного процессаProfile single process

Профилирование производительности системыProfile system performance

Отключение компьютера от стыковочного узлаRemove computer from docking station

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Смена владельцев файлов и других объектовTake ownership of files or other objects

Группа администраторовAdministrators group Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Администраторы имеют полный и неограниченный доступ к домену.Administrators have complete and unrestricted access to the domain.

Прямые права пользователя:Direct user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Настройка квот памяти для процессаAdjust memory quotas for a process

Локальный вход в системуAllow log on locally

Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services

Архивация файлов и каталоговBack up files and directories

Обход перекрестной проверкиBypass traverse checking

Изменение системного времениChange the system time

Изменение часового поясаChange the time zone

Создание файла подкачкиCreate a pagefile

Создание глобальных объектовCreate global objects

Создание символических ссылокCreate symbolic links

Отладка программDebug programs

Разрешение доверия к учетным записям компьютеров и пользователей при делегированииEnable computer and user accounts to be trusted for delegation

Принудительное удаленное завершение работыForce shutdown from a remote system

олицетворение клиента после проверки подлинности;Impersonate a client after authentication

Увеличение приоритета выполненияIncrease scheduling priority

Загрузка и выгрузка драйверов устройствLoad and unload device drivers

Вход в качестве пакетного заданияLog on as a batch job

Управление аудитом и журналом безопасностиManage auditing and security log

Изменение параметров среды изготовителяModify firmware environment values

Выполнение задач по обслуживанию томовPerform volume maintenance tasks

Профилирование одного процессаProfile single process

Профилирование производительности системыProfile system performance

Отключение компьютера от стыковочного узлаRemove computer from docking station

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Смена владельцев файлов и других объектовTake ownership of files or other objects

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Разрешенная группа репликации паролей RODCAllowed RODC Password Replication Group Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Пароли членов этой группы могут реплицироваться на все контроллеры домена только для чтения в домене.Members in this group can have their passwords replicated to all read-only domain controllers in the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Операторы архиваBackup Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Операторы резервного копирования могут переопределять ограничения безопасности для единственной цели резервного копирования или восстановления файлов.Backup Operators can override security restrictions for the sole purpose of backing up or restoring files.

Прямые права пользователя:Direct user rights:

Локальный вход в системуAllow log on locally

Архивация файлов и каталоговBack up files and directories

Вход в качестве пакетного заданияLog on as a batch job

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Издатели сертификатовCert Publishers Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут публиковать сертификаты в каталоге.Members of this group are permitted to publish certificates to the directory.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Доступ DCOM службы сертификацииCertificate Service DCOM Access Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Если службы сертификатов установлены на контроллере домена (не рекомендуется), эта группа предоставляет доступ на регистрацию DCOM пользователям и компьютерам домена.If Certificate Services is installed on a domain controller (not recommended), this group grants DCOM enrollment access to Domain Users and Domain Computers.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Клонированные контроллеры домена (AD DS в Windows Server 2012AD DS)Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS) Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Могут быть клонированы члены этой группы, являющиеся контроллерами домена.Members of this group that are domain controllers may be cloned.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Криптографические операторыCryptographic Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Участники имеют право выполнять криптографические операции.Members are authorized to perform cryptographic operations.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи отладчикаDebugger Users Это не стандартная и встроенная группы, но если она есть в AD DS, то это будет вызвано дальнейшее исследованием.This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation. Наличие группы пользователей отладчика указывает на то, что средства отладки были установлены в системе в определенный момент, будь то с помощью Visual Studio, SQL, Office или других приложений, которым требуется и поддерживает среду отладки.The presence of a Debugger Users group indicates that debugging tools have been installed on the system at some point, whether via Visual Studio, SQL, Office, or other applications that require and support a debugging environment. Эта группа обеспечивает удаленный доступ к компьютерам через удаленную отладку.This group allows remote debugging access to computers. Если эта группа существует на уровне домена, это означает, что на контроллере домена установлен отладчик или приложение, содержащее отладчик.When this group exists at the domain level, it indicates that a debugger or an application that contains a debugger has been installed on a domain controller.
Запрещенная группа репликации паролей RODCDenied RODC Password Replication Group Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Пароли членов этой группы не могут реплицироваться на контроллеры домена только для чтения в домене.Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Администраторы DHCPDHCP Administrators Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы имеют административный доступ к службе DHCP-сервера.Members of this group have administrative access to the DHCP Server service.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи DHCPDHCP Users Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы имеют доступ только для просмотра к службе DHCP-сервера.Members of this group have view-only access to the DHCP Server service.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи DCOMDistributed COM Users Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Членам этой группы разрешено запускать, активировать и использовать распределенные COM-объекты на этом компьютере.Members of this group are allowed to launch, activate, and use distributed COM objects on this computer.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

DnsAdminsDnsAdmins Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы имеют административный доступ к службе DNS-сервера.Members of this group have administrative access to the DNS Server service.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

DnsUpdateProxyDnsUpdateProxy Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Члены этой группы являются клиентами DNS, которым разрешено выполнять динамические обновления от имени клиентов, которые не могут сами выполнять динамические обновления.Members of this group are DNS clients who are permitted to perform dynamic updates on behalf of clients that cannot themselves perform dynamic updates. Члены этой группы обычно являются DHCP-серверами.Members of this group are typically DHCP servers.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Администраторы доменаDomain Admins Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Назначенные администраторы домена; Администраторы домена являются членами каждой локальной группы администраторов компьютера, присоединенного к домену, и получают права и разрешения, предоставленные локальной группе администраторов, в дополнение к группе администраторов домена.Designated administrators of the domain; Domain Admins is a member of every domain-joined computer's local Administrators group and receives rights and permissions granted to the local Administrators group, in addition to the domain's Administrators group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Настройка квот памяти для процессаAdjust memory quotas for a process

Локальный вход в системуAllow log on locally

Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services

Архивация файлов и каталоговBack up files and directories

Обход перекрестной проверкиBypass traverse checking

Изменение системного времениChange the system time

Изменение часового поясаChange the time zone

Создание файла подкачкиCreate a pagefile

Создание глобальных объектовCreate global objects

Создание символических ссылокCreate symbolic links

Отладка программDebug programs

Разрешение доверия к учетным записям компьютеров и пользователей при делегированииEnable computer and user accounts to be trusted for delegation

Принудительное удаленное завершение работыForce shutdown from a remote system

олицетворение клиента после проверки подлинности;Impersonate a client after authentication

Увеличение рабочего набора процессаIncrease a process working set

Увеличение приоритета выполненияIncrease scheduling priority

Загрузка и выгрузка драйверов устройствLoad and unload device drivers

Вход в качестве пакетного заданияLog on as a batch job

Управление аудитом и журналом безопасностиManage auditing and security log

Изменение параметров среды изготовителяModify firmware environment values

Выполнение задач по обслуживанию томовPerform volume maintenance tasks

Профилирование одного процессаProfile single process

Профилирование производительности системыProfile system performance

Отключение компьютера от стыковочного узлаRemove computer from docking station

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Смена владельцев файлов и других объектовTake ownership of files or other objects

Компьютеры доменаDomain Computers Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Все рабочие станции и серверы, присоединенные к домену, являются членами этой группы по умолчанию.All workstations and servers that are joined to the domain are by default members of this group.

Права прямого пользователя по умолчанию: NoneDefault direct user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Контроллеры доменаDomain Controllers Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Все контроллеры домена в домене.All domain controllers in the domain. Примечание. контроллеры домена не являются членами группы "компьютеры домена".Note: Domain controllers are not a member of the Domain Computers group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Гости доменаDomain Guests Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Все гости в доменеAll guests in the domain

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи доменаDomain Users Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Все пользователи в доменеAll users in the domain

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Администраторы предприятия (существует только в корневом домене леса)Enterprise Admins (exists only in forest root domain) Контейнер usersUsers container

Универсальная группа безопасностиUniversal security group

Администраторы предприятия имеют разрешения на изменение параметров конфигурации на уровне леса. Администраторы предприятия являются членами группы администраторов каждого домена и получают права и разрешения, предоставленные этой группе.Enterprise Admins have permissions to change forest-wide configuration settings; Enterprise Admins is a member of every domain's Administrators group and receives rights and permissions granted to that group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Настройка квот памяти для процессаAdjust memory quotas for a process

Локальный вход в системуAllow log on locally

Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services

Архивация файлов и каталоговBack up files and directories

Обход перекрестной проверкиBypass traverse checking

Изменение системного времениChange the system time

Изменение часового поясаChange the time zone

Создание файла подкачкиCreate a pagefile

Создание глобальных объектовCreate global objects

Создание символических ссылокCreate symbolic links

Отладка программDebug programs

Разрешение доверия к учетным записям компьютеров и пользователей при делегированииEnable computer and user accounts to be trusted for delegation

Принудительное удаленное завершение работыForce shutdown from a remote system

олицетворение клиента после проверки подлинности;Impersonate a client after authentication

Увеличение рабочего набора процессаIncrease a process working set

Увеличение приоритета выполненияIncrease scheduling priority

Загрузка и выгрузка драйверов устройствLoad and unload device drivers

Вход в качестве пакетного заданияLog on as a batch job

Управление аудитом и журналом безопасностиManage auditing and security log

Изменение параметров среды изготовителяModify firmware environment values

Выполнение задач по обслуживанию томовPerform volume maintenance tasks

Профилирование одного процессаProfile single process

Профилирование производительности системыProfile system performance

Отключение компьютера от стыковочного узлаRemove computer from docking station

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Смена владельцев файлов и других объектовTake ownership of files or other objects

Корпоративные контроллеры домена только для чтенияEnterprise Read-only Domain Controllers Контейнер usersUsers container

Универсальная группа безопасностиUniversal security group

Эта группа содержит учетные записи для всех контроллеров домена только для чтения в лесу.This group contains the accounts for all read-only domain controllers in the forest.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Читатели журнала событийEvent Log Readers Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы в могут читать журналы событий на контроллерах домена.Members of this group in can read the event logs on domain controllers.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Владельцы-создатели групповой политикиGroup Policy Creator Owners Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Члены этой группы могут создавать и изменять объекты групповая политика в домене.Members of this group can create and modify Group Policy Objects in the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

ГостьGuest Контейнер usersUsers container

Не группаNot a group

Это единственная учетная запись в домене AD DS, в маркер доступа к которому не добавлен идентификатор SID аутентифицированных пользователей.This is the only account in an AD DS domain that does not have the Authenticated Users SID added to its access token. Таким образом, все ресурсы, настроенные для предоставления доступа к группе Пользователи, прошедшие проверку подлинности, будут недоступны для этой учетной записи.Therefore, any resources that are configured to grant access to the Authenticated Users group will not be accessible to this account. Это не относится к членам групп «гости» и «гости», однако члены этих групп имеют идентификатор SID «аутентифицированные пользователи», добавленный к маркерам доступа.This behavior is not true of members of the Domain Guests and Guests groups, however- members of those groups do have the Authenticated Users SID added to their access tokens.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

ГостиGuests Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Гости имеют тот же доступ, что и члены группы «пользователи» по умолчанию, за исключением учетной записи гостя, которая дополнительно ограничена, как описано выше.Guests have the same access as members of the Users group by default, except for the Guest account, which is further restricted as described earlier.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Администраторы Hyper-V (Windows Server 2012)Hyper-V Administrators (Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.Members of this group have complete and unrestricted access to all features of Hyper-V.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

IIS_IUSRSIIS_IUSRS Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Встроенная группа, используемая службы IIS.Built-in group used by Internet Information Services.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Построители доверия входящего леса (существует только в корневом домене леса)Incoming Forest Trust Builders (exists only in forest root domain) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут создавать входящие односторонние отношения доверия с этим лесом.Members of this group can create incoming, one-way trusts to this forest. (Создание доверий исходящих лесов зарезервировано для администраторов предприятия.)(Creation of outbound forest trusts is reserved for Enterprise Admins.)

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

KRBTGTKrbtgt Контейнер usersUsers container

Не группаNot a group

Учетная запись krbtgt — это учетная запись службы для центр распространения ключей Kerberos в домене.The Krbtgt account is the service account for the Kerberos Key Distribution Center in the domain. Эта учетная запись имеет доступ ко всем учетным записям, хранящимся в Active Directory.This account has access to all accounts' credentials stored in Active Directory. Эта учетная запись отключена по умолчанию и никогда не должна включатьсяThis account is disabled by default and should never be enabled

Права пользователя: Н/ДUser rights: N/A

Операторы настройки сетиNetwork Configuration Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Членам этой группы предоставляются привилегии, которые позволяют им управлять конфигурацией сетевых компонентов.Members of this group are granted privileges that allow them to manage configuration of networking features.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи журнала производительностиPerformance Log Users Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут запланировать ведение журнала счетчиков производительности, включать поставщиков трассировки и выполнять сбор трассировок событий локально и через удаленный доступ к компьютеру.Members of this group can schedule logging of performance counters, enable trace providers, and collect event traces locally and via remote access to the computer.

Прямые права пользователя:Direct user rights:

Вход в качестве пакетного заданияLog on as a batch job

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

пользователи системного монитора.Performance Monitor Users Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут получать доступ к данным счетчиков производительности локально и удаленно.Members of this group can access performance counter data locally and remotely.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пред-Windows 2000 доступ, совместимыйPre-Windows 2000 Compatible Access Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Эта группа существует для обеспечения обратной совместимости с операционными системами до Windows 2000 Server и предоставляет членам возможность считывать сведения о пользователях и группах в домене.This group exists for backward compatibility with operating systems prior to Windows 2000 Server, and it provides the ability for members to read user and group information in the domain.

Прямые права пользователя:Direct user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Обход перекрестной проверкиBypass traverse checking

Унаследованные права пользователя:Inherited user rights:

Добавление рабочих станций к доменуAdd workstations to domain

Увеличение рабочего набора процессаIncrease a process working set

Операторы печатиPrint Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут администрировать принтеры домена.Members of this group can administer domain printers.

Прямые права пользователя:Direct user rights:

Локальный вход в системуAllow log on locally

Загрузка и выгрузка драйверов устройствLoad and unload device drivers

Завершение работы системыShut down the system

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Серверы RAS и IASRAS and IAS Servers Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Серверы в этой группе могут считывать свойства удаленного доступа учетных записей пользователей в домене.Servers in this group can read remote access properties on user accounts in the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Серверы конечных точек RDS (Windows Server 2012)RDS Endpoint Servers (Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Серверы в этой группе запускают виртуальные машины и сеансы узла, где выполняются приложения RemoteApp и личные виртуальные рабочие столы.Servers in this group run virtual machines and host sessions where users RemoteApp programs and personal virtual desktops run. Эта группа должна быть заполнена на серверах, на которых выполняется RDCB.This group needs to be populated on servers running RD Connection Broker. Серверы узла сеансов удаленных рабочих столов и серверы узлов виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.RD Session Host servers and RD Virtualization Host servers used in the deployment need to be in this group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Серверы управления RDS (Windows Server 2012)RDS Management Servers (Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Серверы в этой группе могут выполнять стандартные административные действия на серверах с службы удаленных рабочих столов.Servers in this group can perform routine administrative actions on servers running Remote Desktop Services. Эта группа должна быть заполнена на всех серверах в развертывании службы удаленных рабочих столов.This group needs to be populated on all servers in a Remote Desktop Services deployment. Серверы, на которых выполняется Служба централизованного управления RDS, должны быть добавлены в эту группу.The servers running the RDS Central Management service must be included in this group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Серверы удаленного доступа RDS (Windows Server 2012)RDS Remote Access Servers (Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам.Servers in this group enable users of RemoteApp programs and personal virtual desktops access to these resources. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети.In Internet-facing deployments, these servers are typically deployed in an edge network. Эта группа должна быть заполнена на серверах, на которых выполняется RDCB.This group needs to be populated on servers running RD Connection Broker. Серверы шлюзов удаленных рабочих столов и серверы Веб-доступ удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.RD Gateway servers and RD Web Access servers used in the deployment need to be in this group.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Контроллеры домена только для чтенияRead-only Domain Controllers Контейнер usersUsers container

Глобальная группа безопасностиGlobal security group

Эта группа содержит все контроллеры домена только для чтения в домене.This group contains all read-only domain controllers in the domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи удаленного рабочего столаRemote Desktop Users Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы получают право на удаленное подключение по протоколу RDP.Members of this group are granted the right to log on remotely using RDP.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Пользователи удаленного управления (Windows Server 2012)Remote Management Users (Windows Server 2012) Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу служба удаленного управления Windows).Members of this group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю.This applies only to WMI namespaces that grant access to the user.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

РепликаторReplicator Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Поддерживает устаревшую репликацию файлов в домене.Supports legacy file replication in a domain.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Администраторы схемы (существует только в корневом домене леса)Schema Admins (exists only in forest root domain) Контейнер usersUsers container

Универсальная группа безопасностиUniversal security group

Администраторы схемы — это единственные пользователи, которые могут вносить изменения в схему Active Directory и только в том случае, если схема включена для записи.Schema admins are the only users who can make modifications to the Active Directory schema, and only if the schema is write-enabled.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Операторы сервераServer Operators Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут администрировать серверы домена.Members of this group can administer domain servers.

Прямые права пользователя:Direct user rights:

Локальный вход в системуAllow log on locally

Архивация файлов и каталоговBack up files and directories

Изменение системного времениChange the system time

Изменение часового поясаChange the time zone

Принудительное удаленное завершение работыForce shutdown from a remote system

Восстановление файлов и каталоговRestore files and directories

Завершение работы системыShut down the system

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

Серверы лицензий сервера терминаловTerminal Server License Servers Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензии для отслеживания использования клиентских лицензий служб терминалов "на пользователя" и отчетов.Members of this group can update user accounts in Active Directory with information about license issuance, for the purpose of tracking and reporting TS Per User CAL usage

Права прямого пользователя по умолчанию: NoneDefault direct user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

ПользователиUsers Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

У пользователей есть разрешения, которые позволяют им считывать множество объектов и атрибутов в Active Directory, хотя они не могут изменять большинство.Users have permissions that allow them to read many objects and attributes in Active Directory, although they cannot change most. Пользователи не могут вносить случайные или преднамеренные изменения на уровне системы и запускать большинство приложений.Users are prevented from making accidental or intentional system-wide changes and can run most applications.

Прямые права пользователя:Direct user rights:

Увеличение рабочего набора процессаIncrease a process working set

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Группа доступа авторизации WindowsWindows Authorization Access Group Встроенный контейнерBuilt-in container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы имеют доступ к атрибуту recomputeed tokenGroupsGlobalAndUniversal для объектов UserMembers of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set

WinRMRemoteWMIUsers_ (Windows Server 2012)WinRMRemoteWMIUsers_ (Windows Server 2012) Контейнер usersUsers container

Локальная группа безопасности доменаDomain-local security group

Члены этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу служба удаленного управления Windows).Members of this group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю.This applies only to WMI namespaces that grant access to the user.

Прямые права пользователя: NoneDirect user rights: None

Унаследованные права пользователя:Inherited user rights:

Доступ к этому компьютеру из сетиAccess this computer from the network

Добавление рабочих станций к доменуAdd workstations to domain

Обход перекрестной проверкиBypass traverse checking

Увеличение рабочего набора процессаIncrease a process working set