Приложение Б. Привилегированные учетные записи и группы в Active Directory

Учетная запись или группа Контейнер по умолчанию, область и тип группы Описание и права пользователя по умолчанию
Операторы поддержки контроля доступа (Active Directory в Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Операторы учета Встроенный контейнер

Локальная группа безопасности домена

Участники могут администрировать учетные записи пользователей и групп домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Учетная запись администратора Контейнер users

Не группа

Встроенная учетная запись для администрирования домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Настройка квот памяти для процесса

Локальный вход в систему

Разрешить вход в систему через службу удаленных рабочих столов

Архивация файлов и каталогов

Обход перекрестной проверки

Изменение системного времени

Изменение часового пояса

Создание файла подкачки

Создание глобальных объектов

Создание символических ссылок

Отладка программ

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Принудительное удаленное завершение работы

олицетворение клиента после проверки подлинности;

Увеличение рабочего набора процесса

Увеличение приоритета выполнения

Загрузка и выгрузка драйверов устройств

Вход в качестве пакетного задания

Управление аудитом и журналом безопасности

Изменение параметров среды изготовителя

Выполнение задач по обслуживанию томов

Профилирование одного процесса

Профилирование производительности системы

Отключение компьютера от стыковочного узла

Восстановление файлов и каталогов

Завершение работы системы

Смена владельцев файлов и других объектов

Группа администраторов Встроенный контейнер

Локальная группа безопасности домена

Администраторы имеют полный и неограниченный доступ к домену.

Прямые права пользователя:

Доступ к этому компьютеру из сети

Настройка квот памяти для процесса

Локальный вход в систему

Разрешить вход в систему через службу удаленных рабочих столов

Архивация файлов и каталогов

Обход перекрестной проверки

Изменение системного времени

Изменение часового пояса

Создание файла подкачки

Создание глобальных объектов

Создание символических ссылок

Отладка программ

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Принудительное удаленное завершение работы

олицетворение клиента после проверки подлинности;

Увеличение приоритета выполнения

Загрузка и выгрузка драйверов устройств

Вход в качестве пакетного задания

Управление аудитом и журналом безопасности

Изменение параметров среды изготовителя

Выполнение задач по обслуживанию томов

Профилирование одного процесса

Профилирование производительности системы

Отключение компьютера от стыковочного узла

Восстановление файлов и каталогов

Завершение работы системы

Смена владельцев файлов и других объектов

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Разрешенная группа репликации паролей RODC Контейнер users

Локальная группа безопасности домена

Пароли членов этой группы могут реплицироваться на все контроллеры домена только для чтения в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Операторы архива Встроенный контейнер

Локальная группа безопасности домена

Операторы резервного копирования могут переопределять ограничения безопасности для единственной цели резервного копирования или восстановления файлов.

Прямые права пользователя:

Локальный вход в систему

Архивация файлов и каталогов

Вход в качестве пакетного задания

Восстановление файлов и каталогов

Завершение работы системы

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Издатели сертификатов Контейнер users

Локальная группа безопасности домена

Члены этой группы могут публиковать сертификаты в каталоге.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Доступ DCOM службы сертификации Встроенный контейнер

Локальная группа безопасности домена

Если службы сертификатов установлены на контроллере домена (не рекомендуется), эта группа предоставляет доступ на регистрацию DCOM пользователям и компьютерам домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

клонированные контроллеры домена (AD DS в Windows Server 2012AD DS) Контейнер users

Глобальная группа безопасности

Могут быть клонированы члены этой группы, являющиеся контроллерами домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Криптографические операторы Встроенный контейнер

Локальная группа безопасности домена

Участники имеют право выполнять криптографические операции.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи отладчика Это не стандартная и встроенная группы, но если она есть в AD DS, то это будет вызвано дальнейшее исследованием. наличие группы "пользователи отладчика" указывает на то, что средства отладки были установлены в системе в определенный момент, будь то Visual Studio, SQL, Office или другие приложения, требующие и поддерживающие среду отладки. Эта группа обеспечивает удаленный доступ к компьютерам через удаленную отладку. Если эта группа существует на уровне домена, это означает, что на контроллере домена установлен отладчик или приложение, содержащее отладчик.
Запрещенная группа репликации паролей RODC Контейнер users

Локальная группа безопасности домена

Пароли членов этой группы не могут реплицироваться на контроллеры домена только для чтения в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Администраторы DHCP Контейнер users

Локальная группа безопасности домена

Члены этой группы имеют административный доступ к службе DHCP-сервера.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи DHCP Контейнер users

Локальная группа безопасности домена

Члены этой группы имеют доступ только для просмотра к службе DHCP-сервера.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи DCOM Встроенный контейнер

Локальная группа безопасности домена

Членам этой группы разрешено запускать, активировать и использовать распределенные COM-объекты на этом компьютере.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

DnsAdmins Контейнер users

Локальная группа безопасности домена

Члены этой группы имеют административный доступ к службе DNS-сервера.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

DnsUpdateProxy Контейнер users

Глобальная группа безопасности

Члены этой группы являются клиентами DNS, которым разрешено выполнять динамические обновления от имени клиентов, которые не могут сами выполнять динамические обновления. Члены этой группы обычно являются DHCP-серверами.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Администраторы домена Контейнер users

Глобальная группа безопасности

Назначенные администраторы домена; Администраторы домена являются членами каждой локальной группы администраторов компьютера, присоединенного к домену, и получают права и разрешения, предоставленные локальной группе администраторов, в дополнение к группе администраторов домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Настройка квот памяти для процесса

Локальный вход в систему

Разрешить вход в систему через службу удаленных рабочих столов

Архивация файлов и каталогов

Обход перекрестной проверки

Изменение системного времени

Изменение часового пояса

Создание файла подкачки

Создание глобальных объектов

Создание символических ссылок

Отладка программ

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Принудительное удаленное завершение работы

олицетворение клиента после проверки подлинности;

Увеличение рабочего набора процесса

Увеличение приоритета выполнения

Загрузка и выгрузка драйверов устройств

Вход в качестве пакетного задания

Управление аудитом и журналом безопасности

Изменение параметров среды изготовителя

Выполнение задач по обслуживанию томов

Профилирование одного процесса

Профилирование производительности системы

Отключение компьютера от стыковочного узла

Восстановление файлов и каталогов

Завершение работы системы

Смена владельцев файлов и других объектов

Компьютеры домена Контейнер users

Глобальная группа безопасности

Все рабочие станции и серверы, присоединенные к домену, являются членами этой группы по умолчанию.

Права прямого пользователя по умолчанию: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Контроллеры домена Контейнер users

Глобальная группа безопасности

Все контроллеры домена в домене. Примечание. контроллеры домена не являются членами группы "компьютеры домена".

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Гости домена Контейнер users

Глобальная группа безопасности

Все гости в домене

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи домена Контейнер users

Глобальная группа безопасности

Все пользователи в домене

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

администраторы Enterprise (существует только в корневом домене леса) Контейнер users

Универсальная группа безопасности

Enterprise администраторы имеют разрешения на изменение параметров конфигурации на уровне леса; Enterprise администраторы являются членами группы администраторов каждого домена и получают права и разрешения, предоставленные этой группе.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Настройка квот памяти для процесса

Локальный вход в систему

Разрешить вход в систему через службу удаленных рабочих столов

Архивация файлов и каталогов

Обход перекрестной проверки

Изменение системного времени

Изменение часового пояса

Создание файла подкачки

Создание глобальных объектов

Создание символических ссылок

Отладка программ

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Принудительное удаленное завершение работы

олицетворение клиента после проверки подлинности;

Увеличение рабочего набора процесса

Увеличение приоритета выполнения

Загрузка и выгрузка драйверов устройств

Вход в качестве пакетного задания

Управление аудитом и журналом безопасности

Изменение параметров среды изготовителя

Выполнение задач по обслуживанию томов

Профилирование одного процесса

Профилирование производительности системы

Отключение компьютера от стыковочного узла

Восстановление файлов и каталогов

Завершение работы системы

Смена владельцев файлов и других объектов

Корпоративные контроллеры домена только для чтения Контейнер users

Универсальная группа безопасности

Эта группа содержит учетные записи для всех контроллеров домена только для чтения в лесу.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Читатели журнала событий Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы в могут читать журналы событий на контроллерах домена.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Владельцы-создатели групповой политики Контейнер users

Глобальная группа безопасности

Члены этой группы могут создавать и изменять объекты групповая политика в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Гость Контейнер users

Не группа

Это единственная учетная запись в домене AD DS, в маркер доступа к которому не добавлен идентификатор SID аутентифицированных пользователей. Таким образом, все ресурсы, настроенные для предоставления доступа к группе Пользователи, прошедшие проверку подлинности, будут недоступны для этой учетной записи. Это не относится к членам групп «гости» и «гости», однако члены этих групп имеют идентификатор SID «аутентифицированные пользователи», добавленный к маркерам доступа.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Обход перекрестной проверки

Увеличение рабочего набора процесса

Гости Встроенный контейнер

Локальная группа безопасности домена

Гости имеют тот же доступ, что и члены группы «пользователи» по умолчанию, за исключением учетной записи гостя, которая дополнительно ограничена, как описано выше.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Администраторы Hyper-V (Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

IIS_IUSRS Встроенный контейнер

Локальная группа безопасности домена

встроенная группа, используемая службы IIS.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Построители доверия входящего леса (существует только в корневом домене леса) Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут создавать входящие односторонние отношения доверия с этим лесом. (создание доверий исходящих лесов зарезервировано для администраторов Enterprise.)

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

KRBTGT Контейнер users

Не группа

Учетная запись krbtgt — это учетная запись службы для центр распространения ключей Kerberos в домене. Эта учетная запись имеет доступ ко всем учетным записям, хранящимся в Active Directory. Эта учетная запись отключена по умолчанию и никогда не должна включаться

Права пользователя: Н/Д

Операторы настройки сети Встроенный контейнер

Локальная группа безопасности домена

Членам этой группы предоставляются привилегии, которые позволяют им управлять конфигурацией сетевых компонентов.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи журнала производительности Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут запланировать ведение журнала счетчиков производительности, включать поставщиков трассировки и выполнять сбор трассировок событий локально и через удаленный доступ к компьютеру.

Прямые права пользователя:

Вход в качестве пакетного задания

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

пользователи системного монитора. Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут получать доступ к данным счетчиков производительности локально и удаленно.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

пред-Windows 2000-совместимый доступ Встроенный контейнер

Локальная группа безопасности домена

эта группа существует для обеспечения обратной совместимости с операционными системами, выпущенными до Windows 2000 Server, и предоставляет членам возможность считывать сведения о пользователях и группах в домене.

Прямые права пользователя:

Доступ к этому компьютеру из сети

Обход перекрестной проверки

Унаследованные права пользователя:

Добавление рабочих станций к домену

Увеличение рабочего набора процесса

Операторы печати Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут администрировать принтеры домена.

Прямые права пользователя:

Локальный вход в систему

Загрузка и выгрузка драйверов устройств

Завершение работы системы

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Серверы RAS и IAS Контейнер users

Локальная группа безопасности домена

Серверы в этой группе могут считывать свойства удаленного доступа учетных записей пользователей в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Серверы конечных точек RDS (Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

Серверы в этой группе запускают виртуальные машины и сеансы узла, где выполняются приложения RemoteApp и личные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах, на которых выполняется RDCB. Серверы узла сеансов удаленных рабочих столов и серверы узлов виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Серверы управления RDS (Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

Серверы в этой группе могут выполнять стандартные административные действия на серверах с службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании службы удаленных рабочих столов. Серверы, на которых выполняется Служба централизованного управления RDS, должны быть добавлены в эту группу.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Серверы удаленного доступа RDS (Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых выполняется RDCB. Серверы шлюзов удаленных рабочих столов и серверы Веб-доступ удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Контроллеры домена только для чтения Контейнер users

Глобальная группа безопасности

Эта группа содержит все контроллеры домена только для чтения в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи удаленного рабочего стола Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы получают право на удаленное подключение по протоколу RDP.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи удаленного управления (Windows Server 2012) Встроенный контейнер

Локальная группа безопасности домена

члены этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу служба удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Репликатор Встроенный контейнер

Локальная группа безопасности домена

Поддерживает устаревшую репликацию файлов в домене.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Администраторы схемы (существует только в корневом домене леса) Контейнер users

Универсальная группа безопасности

Администраторы схемы — это единственные пользователи, которые могут вносить изменения в схему Active Directory и только в том случае, если схема включена для записи.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Операторы сервера Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут администрировать серверы домена.

Прямые права пользователя:

Локальный вход в систему

Архивация файлов и каталогов

Изменение системного времени

Изменение часового пояса

Принудительное удаленное завершение работы

Восстановление файлов и каталогов

Завершение работы системы

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Серверы лицензий сервера терминалов Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензии для отслеживания использования клиентских лицензий служб терминалов "на пользователя" и отчетов.

Права прямого пользователя по умолчанию: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Пользователи Встроенный контейнер

Локальная группа безопасности домена

У пользователей есть разрешения, которые позволяют им считывать множество объектов и атрибутов в Active Directory, хотя они не могут изменять большинство. Пользователи не могут вносить случайные или преднамеренные изменения на уровне системы и запускать большинство приложений.

Прямые права пользователя:

Увеличение рабочего набора процесса

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Группа доступа Windows Встроенный контейнер

Локальная группа безопасности домена

Члены этой группы имеют доступ к атрибуту recomputeed tokenGroupsGlobalAndUniversal для объектов User

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

WinRMRemoteWMIUsers_ (Windows Server 2012) Контейнер users

Локальная группа безопасности домена

члены этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу служба удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю.

Прямые права пользователя: None

Унаследованные права пользователя:

Доступ к этому компьютеру из сети

Добавление рабочих станций к домену

Обход перекрестной проверки

Увеличение рабочего набора процесса

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Б. Привилегированные учетные записи и группы в Active Directory

"Привилегированные" учетные записи и группы в Active Directory — это те, для которых предоставляются эффективные права, привилегии и разрешения, позволяющие им выполнять практически любое действие в Active Directory и в системах, присоединенных к домену. В этом приложении рассматриваются права, привилегии и разрешения, а также сведения об учетных записях и группах с наивысшими правами в Active Directory, то есть самых мощных учетных записях и группах.

Также предоставляются сведения о встроенных и стандартных учетных записях и группах по умолчанию Active Directory в дополнение к их правам. Хотя конкретные рекомендации по конфигурации для защиты учетных записей с наивысшими привилегиями и групп предоставляются в виде отдельных приложений, в этом приложении содержатся общие сведения, помогающие найти пользователей и группы, на которые следует обратить внимание при защите. Это необходимо сделать, так как они могут быть использованы злоумышленниками для компрометации и даже уничтожения установки Active Directory.

Права, права доступа и разрешения в Active Directory

Различия между правами, разрешениями и привилегиями могут быть запутанными и противоречивыми, даже внутри документации Майкрософт. В этом разделе описаны некоторые характеристики каждого из них, как они используются в этом документе. Эти описания не следует рассматривать как полномочные для других документов Майкрософт, так как они могут использовать эти условия по-разному.

Права и привилегии

Права и привилегии фактически являются теми же возможностями на уровне системы, которые предоставляются субъектам безопасности, таким как пользователи, службы, компьютеры или группы. В интерфейсах, обычно используемых ИТ-специалистами, они обычно называются "права доступа" или "права пользователя" и часто назначаются групповая политикаными объектами. на следующем снимке экрана показаны некоторые наиболее распространенные права пользователя, которые могут быть назначены субъектам безопасности (он представляет объект групповой политики контроллеров домена по умолчанию в домене Windows Server 2012). некоторые из этих прав применяются к Active Directory, например разрешение учетных записей компьютера и пользователя для делегирования прав пользователя, в то время как другие права применяются к операционной системе Windows, например для изменения системного времени.

privileged accounts and groups

В таких интерфейсах, как редактор объектов групповой политики, все эти возможности могут быть широко распространены как права пользователя. В реальности некоторые права пользователя программными средствами называются правами, а другие — как привилегии. Таблица B-1. права и привилегии пользователя предоставляют некоторые наиболее распространенные права, назначаемые пользователям, и их программные константы. Хотя групповая политика и другие интерфейсы ссылаются на все эти права пользователя, некоторые из них программно определяют как права, а другие определяются как привилегии.

для получения дополнительных сведений о каждом из прав, перечисленных в следующей таблице, используйте ссылки в таблице или см . руководство поустранению угроз и контрмер для Windows Server 2008 R2 на сайте Microsoft TechNet. сведения, применимые к Windows Server 2008 , см. в документации по предотвращению угроз и уязвимостей на веб-узле Microsoft TechNet. на момент написания этого документа соответствующая документация для Windows Server 2012 еще не опубликована.

Примечание

Для целей этого документа условия "права" и "права пользователя" используются для идентификации прав и привилегий, если не указано иное.

Таблица B-1. права и привилегии пользователя
Право пользователя в групповая политика Имя константы
Доступ к диспетчеру учетных данных от имени доверенного вызывающего сетрустедкредманакцесспривилеже
Доступ к этому компьютеру из сети SeNetworkLogonRight
работа в качества части операционной системы; SeTcbPrivilege
Добавление рабочих станций к домену семачинеаккаунтпривилеже
Назначение квот памяти процессам SeIncreaseQuotaPrivilege
Локальный вход в систему SeInteractiveLogonRight
Разрешить вход в систему через службы терминалов серемотеинтерактивелогонригхт
Архивация файлов и каталогов SeBackupPrivilege
Обход проходной проверки SeChangeNotifyPrivilege
Изменение системного времени сесистемтимепривилеже
Изменение часового пояса сетимезонепривилеже
Создание файла подкачки секреатепажефилепривилеже
Создание маркерного объекта секреатетокенпривилеже
Создание глобальных объектов секреатеглобалпривилеже
Создание постоянных общих объектов секреатеперманентпривилеже
Создание символических ссылок секреатесимболиклинкпривилеже
Отладка программ SeBackupPrivilege
Запретить сетевой доступ к этому компьютеру. седенинетворклогонригхт
Отказ во входе в качестве пакетного задания седенибатчлогонригхт
Отказать во входе в качестве службы седенисервицелогонригхт
Запретить локальный вход седенинтерактивелогонригхт
Запретить вход в систему через службы терминалов седениремотеинтерактивелогонригхт
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании SeEnableDelegationPrivilege
Принудительное удаленное завершение работы серемотешутдовнпривилеже
Создание аудитов безопасности SeAuditPrivilege
Олицетворение клиента после проверки подлинности SeImpersonatePrivilege
Увеличение рабочего набора процесса SeIncreaseWorkingSetPrivilege
Увеличение приоритета выполнения SeIncreaseBasePriorityPrivilege
Загрузка и выгрузка драйверов устройств селоаддриверпривилеже
Блокировка страниц в памяти SeLockMemoryPrivilege
Вход в качестве пакетного задания SeBatchLogonRight
Вход в систему в качестве службы. SeServiceLogonRight
Управление аудитом и журналом безопасности SeSecurityPrivilege
Изменение метки объекта серелабелпривилеже
Изменение параметров среды изготовителя сесистеменвиронментпривилеже
Выполнение задач по обслуживанию томов семанажеволумепривилеже
Профилирование одного процесса сепрофилесинглепроцесспривилеже
Профилирование производительности системы сесистемпрофилепривилеже
Отключение компьютера от стыковочного узла сеундоккпривилеже
Замена маркера уровня процесса SeAssignPrimaryTokenPrivilege
Восстановление файлов и каталогов SeRestorePrivilege
Завершение работы системы сешутдовнпривилеже
Синхронизация данных службы каталогов сесинкажентпривилеже
Смена владельцев файлов и других объектов сетакеовнершиппривилеже

Разрешения

Разрешения — это элементы управления доступом, применяемые к защищаемым объектам, таким как файловая система, реестр, служба и Active Directory объекты. С каждым защищаемым объектом связан список управления доступом (ACL), который содержит записи контроля доступа (ACE), предоставляющие или запрещающие субъектам безопасности (пользователям, службам, компьютерам или группам) возможность выполнять различные операции с объектом. Например, списки ACL для многих объектов в Active Directory содержат ACE, которые позволяют прошедшим проверку подлинности пользователям считывать общие сведения об объектах, но не дают им возможности читать конфиденциальные сведения или изменять объекты. За исключением встроенной гостевой учетной записи каждого домена, каждый субъект безопасности, который входит в систему и проходит проверку подлинности контроллером домена в Active Directory лесу или в доверенном лесу, по умолчанию добавляется идентификатор безопасности, прошедший проверку подлинности пользователей, в маркер доступа. Таким образом, если пользователь, служба или учетная запись компьютера пытается прочитать общие свойства объектов-пользователей в домене, операция чтения будет успешной.

Если участник безопасности пытается получить доступ к объекту, для которого не определены элементы ACE и он содержит идентификатор безопасности, имеющийся в маркере доступа участника, он не может получить доступ к объекту. Кроме того, если элемент управления доступом в списке ACL объекта содержит запись запрета для идентификатора безопасности, соответствующего маркеру доступа пользователя, элемент ACE "deny" обычно переопределяет конфликтующую запись ACE "Allow". дополнительные сведения об управлении доступом в Windows см. в разделе контроль доступа на веб-сайте MSDN.

В этом документе разрешения относятся к возможностям, которые предоставляются или отклоняются субъектам безопасности защищаемых объектов. При возникновении конфликта между правым пользователем и разрешением пользователь обычно имеет приоритет. Например, если объект в Active Directory настроен с ACL, который запрещает администраторам доступ на чтение и запись к объекту, пользователь, который является членом группы администраторов домена, не сможет просматривать подробные сведения об объекте. Тем не менее, поскольку группе «Администраторы» предоставлено право «стать владельцем файлов или других объектов», пользователь может просто стать владельцем объекта, а затем переписать список ACL объекта, чтобы предоставить администраторам полный контроль над объектом.

Именно по этой причине этот документ позволяет избежать использования мощных учетных записей и групп для повседневного администрирования, а не ограничивать возможности учетных записей и групп. Невозможно присвоить определенному пользователю доступ к мощным учетным данным, используя эти учетные данные для получения доступа к любому защищаемому ресурсу.

Встроенные привилегированные учетные записи и группы

Active Directory предназначено для упрощения делегирования администрирования и принципа наименьших привилегий при назначении прав и разрешений. Обычные пользователи, у которых есть учетные записи в домене Active Directory, по умолчанию могут читать значительную часть данных, хранящихся в каталоге, но могут изменять только очень ограниченный набор в каталоге. Пользователям, которым требуется дополнительная привилегия, можно предоставить членство в различных привилегированных группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могут выполнять задачи, не относящиеся к их обязанностям.

в Active Directory есть три встроенных группы, которые включают в себя самые высокие группы прав доступа в каталоге: группа Enterprise администраторы (EA), группа администраторов домена (DA) и встроенная группа администраторы (BA).

Четвертая группа, Группа администраторов схемы (SA), имеет привилегии, которые, в случае нарушения, могут повредить или уничтожить весь Active Directory лес, но эта группа более ограничена в ее возможностях, чем группы EA, DA и BA.

Помимо этих четырех групп, существует ряд дополнительных встроенных учетных записей и групп по умолчанию в Active Directory, каждый из которых предоставляет права и разрешения, позволяющие выполнять определенные задачи администрирования. Хотя это приложение не предоставляет подробного описания всех встроенных или групп по умолчанию в Active Directory, оно предоставляет таблицу групп и учетных записей, которые, скорее всего, будут отображаться в установках.

например, при установке Microsoft Exchange Server в лес Active Directory можно создавать дополнительные учетные записи и группы во встроенных контейнерах и в доменах пользователей. В этом приложении описываются только группы и учетные записи, созданные во встроенных контейнерах и в Active Directory, на основе собственных ролей и компонентов. Учетные записи и группы, созданные при установке корпоративного программного обеспечения, не включены.

Администраторы предприятия

группа "администраторы Enterprise" находится в корневом домене леса, и по умолчанию она является членом встроенной группы администраторов в каждом домене леса. Встроенная учетная запись администратора в корневом домене леса является единственным элементом по умолчанию группы EA. EAs предоставляет права и разрешения, которые позволяют им влиять на изменения на уровне леса. Это изменения, влияющие на все домены в лесу, такие как добавление или удаление доменов, установка доверий лесов или повышение функциональных уровней леса. В правильно спроектированной и реализованной модели делегирования членство в EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, например при установлении отношения доверия с исходящим лесом.

группа EA по умолчанию находится в контейнере пользователи в корневом домене леса и является универсальной группой безопасности, если только корневой домен леса не работает в смешанном режиме Windows 2000 Server, в этом случае группа является глобальной группой безопасности. Хотя некоторые права предоставляются непосредственно группе EA, многие права этой группы на самом деле наследуются группой EA, так как она является членом группы администраторов в каждом домене леса. Enterprise администраторы не имеют прав по умолчанию на рабочих станциях или рядовых серверах.

Администраторы домена

Каждый домен в лесу имеет собственную группу администраторов домена (DA), которая является членом встроенной группы администраторов домена (BA), а также членом локальной группы администраторов на каждом компьютере, присоединенном к домену. Единственным элементом по умолчанию группы DA для домена является встроенная учетная запись администратора для этого домена.

DAs является мощным в своих доменах, в то время как EAs имеет права уровня леса. В правильно спроектированной и реализованной модели делегирования, членство в DA должно быть обязательным только в сценариях "прозрачное стекло", которые представляют собой ситуации, в которых требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене или когда необходимо внести определенные изменения в масштабах домена. Несмотря на то, что собственные механизмы делегирования Active Directory разрешают делегирование в ту степень, что можно использовать учетные записи DA только в экстренных сценариях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние приложения для ускорения процесса.

Группа DA — это глобальная группа безопасности, расположенная в контейнере Users для домена. Для каждого домена в лесу существует одна группа DA, а единственным членом группы DA является встроенная учетная запись администратора домена. Так как группа DA домена вложена в группу Ба домена и каждая локальная группа администраторов системы, присоединенной к домену, DAs не имеет разрешений, специально предоставленных администраторам домена, но они также наследуют все права и разрешения, предоставленные группе администраторов домена, и локальной группе администраторов во всех системах, присоединенных к домену.

Администраторы

Встроенная группа администраторов (BA) — это локальная группа домена в встроенном контейнере домена, в которой DAs и EAs являются вложенными, и это группа, которой предоставлено множество прямых прав и разрешений в каталоге и на контроллерах домена. Однако Группа администраторов для домена не имеет никаких привилегий на рядовых серверах или на рабочих станциях. Членство в локальной группе администраторов компьютеров, присоединенных к домену, заключается в том, где предоставляется локальная привилегия. и из обсуждаемых групп только DAs является членами всех локальных групп администраторов компьютеров, присоединенных к домену, по умолчанию.

Группа администраторов — это локальная группа домена в встроенном контейнере домена. По умолчанию группа Ба каждого домена содержит встроенную учетную запись администратора локального домена, группу DA локального домена и группу EA домена леса. Многие права пользователей в Active Directory и на контроллерах домена предоставляются специально для группы «Администраторы», а не для EAs или DAs. Группа Ба домена предоставляет разрешения на полный доступ для большинства объектов каталога и может стать владельцем объектов каталога. Несмотря на то что группам EA и DA предоставляются определенные разрешения для конкретного объекта в лесу и доменах, большая часть возможностей групп фактически наследуется от членства в группах ба.

Примечание

Хотя эти группы являются конфигурациями по умолчанию для этих привилегированных групп, член любой из трех групп может управлять каталогом, чтобы получить членство в любой из других групп. В некоторых случаях это тривиальным способом, а в других — более сложная задача, но с точки зрения потенциального права все три группы должны считаться фактически эквивалентными.

Администраторы схемы

Группа Администраторы схемы (SA) является универсальной группой в корневом домене леса и имеет только встроенную учетную запись администратора домена в качестве члена по умолчанию, аналогичную группе EA. Хотя членство в группе SA может позволить злоумышленнику нарушить безопасность схемы Active Directory, которая является платформой для всего Active Directory леса, SAs имеет несколько прав и разрешений по умолчанию, помимо схемы.

Следует тщательно управлять членством в группе SA и отслеживать их, но в некоторых отношениях эта группа является «менее привилегированными», чем три наиболее привилегированные группы, описанные выше, так как область ее привилегий очень мала. то есть SAs не имеет прав администратора в любом месте, Кроме схемы.

Дополнительные встроенные и стандартные группы в Active Directory

Чтобы упростить делегирование администрирования в каталоге, Active Directory поставляется с различными встроенными и группами по умолчанию, которым были предоставлены определенные права и разрешения. Эти группы описаны вкратце в следующей таблице.

В следующей таблице перечислены встроенные и стандартные группы в Active Directory. Оба набора групп существуют по умолчанию; Однако встроенные группы расположены (по умолчанию) во встроенном контейнере в Active Directory, тогда как группы по умолчанию находятся в контейнере "Пользователи" в Active Directory. Группы во встроенном контейнере — это все локальные группы домена, а группы в контейнере пользователей — это смесь локальных, глобальных и универсальных групп домена, а также трех отдельных учетных записей пользователей (администратор, гость и KRBTGT).

В дополнение к самым высоким привилегированным группам, описанным выше в этом приложении, некоторым встроенным учетным записям и группам по умолчанию предоставляются повышенные привилегии, которые также должны быть защищены и использоваться только на защищенных узлах администрирования. Эти группы и учетные записи можно найти в затененных строках в таблице B-1: встроенные и группы по умолчанию и учетные записи в Active Directory. Поскольку некоторые из этих групп и учетных записей получают права и разрешения, которые могут быть ненадежными для взлома Active Directory или контроллеров домена, они обладают дополнительными защитами, как описано в приложении C: защищенные учетные записи и группы в Active Directory.

Таблица B-1. встроенные учетные записи и группы по умолчанию в Active Directory