Active Directory 安全组
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
了解默认 Active Directory 安全组、组范围和组函数。
Active Directory 中的安全组是什么?
Active Directory 有两种形式的常见安全主体:用户帐户和计算机帐户。 这些帐户表示作为个人或计算机的物理实体。 用户帐户还可以用作某些应用程序的专用服务帐户。
安全组是一种将用户帐户、计算机帐户和其他组收集到可管理单元中的方法。
在 Windows Server 操作系统中,多个内置帐户和安全组预配置有执行特定任务的适当权限。 在 Active Directory 中,管理职责分为两种类型的管理员:
服务管理员:负责维护和提供 Active Directory 域服务 (AD DS),包括管理域控制器和配置 AD DS。
数据管理员:负责维护存储在 AD DS 以及域成员服务器和工作站上的数据。
Active Directory 安全组的工作原理
使用组将用户帐户、计算机帐户和其他组收集到可管理的单元中。 使用组而不是单个用户有助于简化网络维护和管理。
Active Directory 包含两种组类型:
安全组:用于分配对共享资源的权限。
通讯组:用于创建电子邮件通讯组列表。
安全组
安全组可以提供一种有效的方法来分配网络资源的访问权限。 使用安全组可以执行以下操作:
为 Active Directory 中的安全组分配用户权限。
将用户权限分配给安全组,以确定该组成员在域或林的范围内可执行的操作。 安装 Active Directory 时,用户权限会自动分配给某些安全组,以帮助管理员定义用户在域中的管理角色。
例如,添加到 Active Directory 中的备份操作员组的用户能够备份和还原位于域中各个域控制器上的文件和目录。 用户可以完成这些操作,因为默认情况下,用户权限“备份文件和目录”和“还原文件和目录”会自动分配给“Backup Operators”组。 因此,此组的成员将继承分配给该组的用户权限。
可以使用组策略将用户权限分配给安全组以委派特定任务。 有关使用组策略的详细信息,请参阅用户权限分配。
为安全组分配资源的权限。
权限与用户权限不同。 将权限分配给共享资源的安全组。 权限确定可以访问资源的对象以及访问级别,例如“完全控制”或“读取”。 将自动分配某些域对象上设置的权限,以允许针对默认安全组(如“Account Operators”组或“Domain Admins”组)的各种访问级别。
安全组列在定义资源和对象权限的自由访问控制列表 (DACL) 中。 管理员为文件共享或打印机等资源分配权限时,他们应将这些权限分配给安全组,而不是单个用户。 权限一次性分配给组,而不是多次分配给每个用户。 添加到组的每个帐户都会收到在 Active Directory 中分配给该组的权限。 用户接收为该组定义的权限。
你可以将安全组用作电子邮件实体。 将电子邮件发送到安全组时,会将该邮件发送到该组的所有成员。
通讯组
只能使用通讯组通过电子邮件应用程序(如 Exchange Server)向用户集合发送电子邮件。 通讯组未启用安全性,因此不能将它们包含在 DACL 中。
组作用域
每个组都有一个范围,用于标识该组在域树或林中的应用程度。 组的范围确定了可以在网络中为组授予权限的位置。 Active Directory 定义了以下三个组范围:
通用
全球
本地域
注意
除了这三个范围,内置容器中的默认组还具有内置本地组范围。 不能更改此组范围和组类型。
下表描述了这三个组范围以及它们如何以安全组的形式工作:
| 范围 | 可能的成员 | 范围转换 | 可以授予权限 | 可能的成员 |
|---|---|---|---|---|
| 通用 | 来自同一林中任何域的帐户 来自同一林中任何域的全局组 来自同一林中任何域的其他通用组 |
如果组不是任何其他通用组的成员,则可以转换为域“本地”范围 如果组不包含任何其他通用组,则可以转换为“全局”范围 |
在同一林或信任林中的任何域上 | 同一林中的其他通用组 同一林或信任林中的域本地组 同一林或信任林中计算机上的本地组 |
| 全球 | 来自同一域的帐户 来自同一域的其他全局组 |
如果组不是任何其他全局组的成员,则可以转换为“通用”范围 | 在同一林或者信任域或林中的任何域上 | 来自同一林中任何域的通用组 来自同一域的其他全局组 来自同一林或任何信任域中的任何域的域本地组 |
| 本地域 | 来自任何域或任何受信任域的帐户 来自任何域或任何受信任域的全局组 来自同一林中任何域的通用组 来自同一域的其他域本地组 来自其他林和外部域的帐户、全局组和通用组 |
如果组不包含任何其他域本地组,则可以转换为“通用”范围 | 在同一域内 | 来自同一域的其他域本地组 同一域中计算机上的本地组,不包括具有已知安全标识符 (SID) 的内置组 |
特殊标识组
特殊标识称为组。 特殊标识组没有可以修改的特定成员身份,但它们可以根据情况在不同时间表示不同的用户。 其中一些组包括“Creator Owner”、“Batch”和“Authenticated User”。
有关详细信息,请参阅特殊标识组。
默认安全组
默认组(如“Domain Admins”组)是在创建 Active Directory 域时自动创建的安全组。 你可以使用这些预定义组来帮助控制共享资源的访问权限,并委派特定的全域性管理角色。
系统会自动为许多默认组分配一组用户权限,这些用户权限将允许组成员在域中执行特定的操作,如登录到本地系统或备份文件和文件夹。 例如,备份操作员组的成员可以在域中为所有域控制器执行备份操作。
将用户添加到组时,该用户将收到分配给该组的所有用户权限,包括分配给该组的任何共享资源的所有权限。
默认组位于 Active Directory 用户和计算机的“Builtin”容器和“Users”容器中。 “Builtin”容器包括使用域本地范围定义的组。 “Users”容器中包含通过“全局”范围定义的组和通过“本地域”范围定义的组。 可以将位于这些容器中的组移动到域内的其他组或组织单位中,但不能将它们移动到其他域中。
本文中列出的某些管理组以及这些组的所有成员都受到后台进程的保护,该进程定期检查并应用特定的安全描述符。 此描述符是包含与受保护对象相关的安全信息的数据结构。 此过程可确保在某个管理帐户或组上修改安全描述符的任何成功的未授权尝试都将被受保护的设置覆盖。
此安全描述符存在于 AdminSDHolder 对象上。 如果要修改其中一个服务管理员组或其任何成员帐户的权限,则必须修改 AdminSDHolder 对象上的安全描述符,以确保应用一致。 进行这些修改时要小心,因为你还会更改应用于所有受保护管理帐户的默认设置。
默认 Active Directory 安全组
下面的列表提供了位于 Active Directory 中“Builtin”容器和“Users”容器中的默认组的说明:
- Access Control Assistance Operators
- Account Operators
- 管理员
- Allowed RODC Password Replication
- 备份操作员
- 证书服务 DCOM 访问
- Cert Publishers
- Cloneable Domain Controllers
- Cryptographic Operators
- Denied RODC Password Replication
- Device Owners
- DHCP Administrators
- DHCP Users
- Distributed COM Users
- DnsUpdateProxy
- DnsAdmins
- 域管理员
- Domain Computers
- Domain Controllers
- Domain Guests
- Domain Users
- 企业管理员
- 企业密钥管理员
- 企业只读域控制器
- 事件日志读者
- Group Policy Creator Owners
- 来宾
- Hyper-V 管理员
- IIS_IUSRS
- Incoming Forest Trust Builders
- 密钥管理员
- Network Configuration Operators
- 性能日志用户
- 性能监视器用户
- Pre–Windows 2000 Compatible Access
- 打印操作员
- Protected Users
- RAS and IAS Servers
- RDS 终结点服务器
- RDS Management Servers
- RDS Remote Access Servers
- Read-only Domain Controllers
- Remote Desktop Users
- 远程管理用户
- 复制程序
- Schema Admins
- Server Operators
- Storage Replica Administrators
- System Managed Accounts
- Terminal Server License Servers
- 用户
- Windows Authorization Access
- WinRMRemoteWMIUsers_
Access Control Assistance Operators
此组的成员可以远程查询计算机上资源的授权属性和权限。
“Access Control Assistance Operators”组适用于默认 Active Directory 安全组表中列出的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-579 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Account Operators
“Account Operators”组向用户授予有限的帐户创建权限。 此组的成员可以创建和修改大多数类型的帐户,包括用户帐户、本地组和全局组。 组成员可以本地登录到域控制器。
“Account Operators”组的成员无法管理 Administrator 用户帐户、管理员的用户帐户或 Administrators、Server Operators、Account Operators、Backup Operators 或 Print Operators 组。 此组的成员无法修改用户权限。
“Account Operators”组适用于默认 Active Directory 安全组列表中的 Windows Server 操作系统。
注意
默认情况下,此内置组没有成员。 该组可以创建和管理域中的用户和组,包括其自己的成员身份和“Server Operators”组的成员身份。 此组被视为服务管理员组,因为它可以修改服务器操作员“Server Operators”,进而修改域控制器设置。 最佳做法是将此组的成员身份留空,并且不要将其用于任何委派管理。 无法重命名、删除或移除此组。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-548 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight |
管理员
“Administrators”组的成员对计算机具有完全且不受限制的访问权限。 如果将计算机提升为域控制器,则“Administrators”组的成员可以不受限制地访问域。
“Administrators”组适用于默认 Active Directory 安全组列表中的 Windows Server 操作系统。
注意
“Administrators”组具有内置功能,使其成员能够完全控制系统。 无法重命名、删除或移除此组。 此内置组控制对其域中所有域控制器的访问,并且可以更改所有管理组的成员身份。 以下组的成员可以修改“Administrators”组成员身份:默认服务管理员、域中的域管理员和企业管理员。 此组具有获取目录中任何对象或域控制器上任何资源的所有权的特殊权限。 此帐户被视为服务管理员组,因为其成员对域中的域控制器具有完全访问权限。
此安全组包括自 Windows Server 2008 以来的以下更改:
默认用户权限更改:Windows Server 2008 中存在“允许通过终端服务登录”,现已替换为允许通过远程桌面服务登录。
从扩展坞中移除计算机已在 Windows Server 2012 R2 中删除。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-544 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 管理员、域管理员、企业管理员 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 调整进程的内存配额:SeIncreaseQuotaPrivilege 从网络访问此计算机:SeNetworkLogonRight 允许本地登录:SeInteractiveLogonRight 允许通过远程桌面服务登录:SeRemoteInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 跳过遍历检查:SeChangeNotifyPrivilege 更改系统时间:SeSystemTimePrivilege 更改时区:SeTimeZonePrivilege 创建页面文件:SeCreatePagefilePrivilege 创建全局对象:SeCreateGlobalPrivilege 创建符号链接:SeCreateSymbolicLinkPrivilege 调试程序:SeDebugPrivilege 信任计算机和用户帐户可以执行委派:SeEnableDelegationPrivilege 从远程系统强制关机:SeRemoteShutdownPrivilege 身份验证后模拟客户端:SeImpersonatePrivilege 提高计划优先级:SeIncreaseBasePriorityPrivilege 加载和卸载设备驱动程序:SeLoadDriverPrivilege 以批处理作业身份登录:SeBatchLogonRight 管理审计和安全日志特权:SeSecurityPrivilege 修改固件环境值:SeSystemEnvironmentPrivilege 执行卷维护任务:SeManageVolumePrivilege 配置文件系统性能: SeSystemProfilePrivilege 配置文件单个进程:SeProfileSingleProcessPrivilege 从扩展坞中移除计算机:SeUndockPrivilege 还原文件和目录:SeRestorePrivilege 关闭系统:SeShutdownPrivilege 获得文件或其他对象的所有权:SeTakeOwnershipPrivilege |
Allowed RODC Password Replication
此安全组的目的是管理只读域控制器 (RODC) 密码复制策略。 默认情况下,此组没有成员,这会导致新 RODC 不缓存用户凭据的情况。 Denied RODC Password Replication 组包含各种高特权帐户和安全组。 “Denied RODC Password Replication”组取代“Allowed RODC Password Replication”组。
“Allowed RODC Password Replication”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-571 |
| 类型 | 域本地组 |
| 默认容器 | CN=Users DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
备份操作员
“Backup Operators”组的成员可以备份和还原计算机上的所有文件,而不管保护这些文件的权限如何。 Backup Operators 还可以登录到并关闭计算机。 无法重命名、删除或移除此组。 默认情况下,此内置组没有成员,它可以在域控制器上执行备份和还原操作。 以下组的成员可以修改“Backup Operators”组成员身份:默认服务管理员、域中的域管理员和企业管理员。 “Backup Operators”组的成员不能修改任何管理组的成员身份。 尽管此组的成员无法更改服务器设置或修改目录的配置,但他们具有替换域控制器上的文件(包括操作系统文件)所需的权限。 由于此组的成员可以替换域控制器上的文件,因此他们被视为服务管理员。
“Backup Operators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-551 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 以批处理作业身份登录:SeBatchLogonRight 还原文件和目录:SeRestorePrivilege 关闭系统:SeShutdownPrivilege |
证书服务 DCOM 访问
此组的成员可以连接到企业中的证书颁发机构。
“Certificate Service DCOM Access”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-<domain>-574 |
| 类型 | 本地域 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Cert Publishers
“Cert Publishers”组的成员有权发布 Active Directory 中用户对象的证书。
“Cert Publishers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-517 |
| 类型 | 本地域 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | Denied RODC Password Replication |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Cloneable Domain Controllers
可以克隆作为域控制器的“Cloneable Domain Controllers”的成员。 在 Windows Server 2012 R2 和 Windows Server 2012 中,可以通过复制现有的虚拟域控制器来部署域控制器。 在虚拟环境中,不再需要重复部署使用 Sysprep.exe 准备的服务器映像,将服务器提升为域控制器,然后完成部署每个域控制器的更多配置要求(包括将虚拟域控制器添加到此安全组)。
有关更多信息,请参阅介绍 Active Directory 域服务 (AD DS) 虚拟化(级别 100)。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-522 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Cryptographic Operators
已授权此组的成员执行加密操作。 此安全组已添加到 Windows Vista Service Pack 1 (SP1) 中,用于在通用条件模式下为 IPsec 配置 Windows 防火墙。
“Cryptographic Operators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
此安全组是在 Windows Vista SP1 中引入的,在后续版本中未发生更改。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-569 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Denied RODC Password Replication
“Denied RODC Password Replication”组成员的密码不能复制到任何 RODC。
此安全组的目的是管理 RODC 密码复制策略。 此组包含各种高特权帐户和安全组。 “Denied RODC Password Replication”组取代 Allowed RODC Password Replication 组。
此安全组包括自 Windows Server 2008 以来的以下更改:
- Windows Server 2012 更改了默认成员以包含 Cert Publishers。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-572 |
| 类型 | 域本地组 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | Cert Publishers |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Device Owners
如果“Device Owners”组没有成员,建议不要更改此安全组的默认配置。 更改默认配置可能会阻碍依赖于此组的未来方案。 设备所有者组当前未在 Windows 中使用。
“Device Owners”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-583 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 可以移动该组,但不建议这样做 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight 从网络访问此计算机:SeNetworkLogonRight 跳过遍历检查:SeChangeNotifyPrivilege 更改时区:SeTimeZonePrivilege |
DHCP Administrators
“DHCP Administrators”组的成员可以创建、删除和管理服务器范围的不同区域,包括备份和还原动态主机配置协议 (DHCP) 数据库的权限。 即使此组具有管理权限,它也不属于“Administrators”组,因为此角色仅限于 DHCP 服务。
“DHCP Administrators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain> |
| 类型 | 本地域 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 用户 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 可以移动该组,但不建议这样做 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
DHCP Users
“DHCP Users”组的成员可以查看处于活动状态或非活动状态的范围,分配的 IP 地址类型,以及 DHCP 服务器配置不正确时的连接问题。 此组仅限于对 DHCP 服务器的只读访问。
“DHCP Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain> |
| 类型 | 本地域 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 用户 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 可以移动该组,但不建议这样做 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Distributed COM Users
“Distributed COM Users”组的成员可以在计算机上启动、激活和使用分布式 COM 对象。 Microsoft 组件对象模型 (COM) 是一类独立于平台且面向对象的分布式系统,用于创建可交互的二进制软件组件。 分布式组件对象模型 (DCOM) 允许将应用程序分布在对你和应用程序最有意义的位置。 此组显示为 SID,直到域控制器成为主域控制器,并且它持有操作主机(也称为“灵活单主操作”或 FSMO)角色。
“Distributed COM Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-562 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
DnsUpdateProxy
DnsUpdateProxy 组的成员是 DNS 客户端。 允许他们代表其他客户端(例如 DHCP 服务器)执行动态更新。 当 DHCP 服务器配置为使用动态更新代表 DHCP 客户端动态注册主机 (A) 和指针 (PTR) 资源记录时,DNS 服务器可以开发过时的资源记录。 将客户端添加到此安全组可缓解这种情况。
但是,若要防止不安全的记录或允许 DnsUpdateProxy 组的成员在仅允许安全动态更新的区域中注册记录,必须创建专用用户帐户并将 DHCP 服务器配置为使用此帐户的凭据(用户名、密码和域)执行 DNS 动态更新。 多个 DHCP 服务器可以使用一个专用用户帐户的凭据。 仅当 DNS 服务器角色已安装或曾经安装在域中的域控制器上时,此组才存在。
有关详细信息,请参阅 DNS 记录所有权和 DnsUpdateProxy 组。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-<variable RI> |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
DnsAdmins
DnsAdmins 组的成员有权访问网络 DNS 信息。 默认权限为“允许:读取、写入、创建所有子对象、删除子对象、特殊权限”。 仅当 DNS 服务器角色已安装或曾经安装在域中的域控制器上时,此组才存在。
有关安全性和 DNS 的详细信息,请参阅 Windows Server 2012 中的 DNSSEC。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-<variable RI> |
| 类型 | 本地内置 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
域管理员
“Domain Admins”安全组的成员有权管理域。 默认情况下,“Domain Admins”组是已加入域的所有计算机(包括域控制器)上的“Administrators”组的成员。 “Domain Admins”组是组的任何成员在 Active Directory 中为域创建的任何对象的默认所有者。 如果组的成员创建其他对象(如文件),则默认所有者是“Administrators”组。
“Domain Admins”组控制对域中所有域控制器的访问,并且可以修改域中所有管理帐户的成员身份。 其域中的服务管理员组的成员(管理员和域管理员)和“Enterprise Admins”组的成员可以修改“Domain Admins”成员身份。 此组被视为服务管理员帐户,因为其成员对域中的域控制器具有完全访问权限。
“Domain Admins”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-512 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 管理员 |
| 默认成员 | 管理员 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Administrators |
Domain Computers
此组可以包括已加入域的所有计算机和服务器,域控制器除外。 默认情况下,自动创建的任何计算机帐户都将成为此组的成员。
“Domain Computers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-515 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 加入域的所有计算机(不包括域控制器) |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是(但不需要) |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
域控制器
“Domain Controllers”组可以包括域中的所有域控制器。 新的域控制器会自动添加到此组。
“Domain Controllers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-516 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 域的所有域控制器的计算机帐户 |
| 默认成员 | Denied RODC Password Replication |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 否 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Domain Guests
“Domain Guests”组包括域的内置来宾帐户。 当此组的成员在加入域的计算机上以本地来宾身份登录时,将在本地计算机上创建域配置文件。
“Domain Guests”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-514 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 来宾 |
| 默认成员 | 来宾 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 可以移动该组,但不建议这样做 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Guests |
Domain Users
“Domain Users”组包括域中的所有用户帐户。 在域中创建用户帐户时,该帐户会自动添加到此组。
默认情况下,在域中创建的任何用户帐户都会自动成为此组的成员。 可以使用此组来表示域中的所有用户。 例如,如果希望所有域用户都有权访问打印机,则可以将打印机的权限分配给此组,或将“Domain Users”组添加到具有打印机权限的打印服务器上的本地组。
“Domain Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-513 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 管理员 |
| krbtgt | |
| 默认成员 | 用户 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Users |
企业管理员
“Enterprise Admins”组仅存在于域的 Active Directory 林的根域中。 如果域处于纯模式,则该组是通用组。 如果域处于混合模式,则该组是全局组。 此组的成员有权在 Active Directory 中进行林范围的更改,例如添加子域。
默认情况下,组的唯一成员是林根域的 Administrator 帐户。 此组会自动添加到林中每个域中的 Administrators 组中,并提供配置所有域控制器的完全访问权限。 此组中的成员可以修改所有管理组的成员身份。 根域中默认服务管理员组的成员可以修改企业管理员成员身份。 此组被视为服务管理员帐户。
“Enterprise Admins”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<root domain>-519 |
| 类型 | 如果域处于纯模式,则为通用;否则为全局 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 管理员 |
| 默认成员 | 管理员 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Administrators |
企业密钥管理员
此组的成员可以对林中的关键对象执行管理操作。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-527 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
企业只读域控制器
此组的成员是企业中的 RODC。 除帐户密码之外,RODC 保存了可写域控制器所保留的所有 Active Directory 对象和属性。 但是,不能对存储在 RODC 上的数据库进行更改。 更改必须在可写域控制器上进行,然后复制到 RODC。
RODC 解决了分支机构中的一些常见问题。 这些位置可能没有域控制器,或者它们可能具有可写域控制器,但是不具备支持它的物理安全性、网络带宽或本地专业知识。
有关详细信息,请参阅什么是只读域控制器?
“Enterprise Read-only Domain Controllers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<root domain>-498 |
| 类型 | 通用 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
事件日志读者
此组的成员可以从本地计算机中读取事件日志。 当服务器升级为域控制器时,将创建该组。
“Event Log Readers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-573 |
| 类型 | 本地域 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Group Policy Creator Owners
此组有权在域中创建、编辑和删除组策略对象。 默认情况下,组的唯一成员是管理员。
有关可用于此安全组的其他功能的信息,请参阅组策略概述。
“Group Policy Creator Owners”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-520 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 管理员 |
| 默认成员 | Denied RODC Password Replication |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 否 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
来宾
默认情况下,Guests 组的成员与 Users 组的成员具有相同的访问权限,但 Guest 帐户具有其他限制。 默认情况下,唯一的成员是 Guest 帐户。 Guests 组允许偶尔或一次性用户以有限的权限登录计算机的内置 Guest 帐户。
当 Guests 组的成员注销时,将删除整个配置文件。 配置文件删除包括存储在 %userprofile% 目录中的所有内容,包括用户的注册表配置单元信息、自定义桌面图标和其他特定于用户的设置。 这意味着来宾必须使用临时配置文件才能登录到系统。 此安全组与组策略设置交互。 启用此安全组后,请勿登录具有临时配置文件的用户。 若要访问此设置,请转到“计算机配置”>管理模板”>“系统”>“用户配置文件”。
注意
Guest 帐户是 Guests 安全组的默认成员。 在域中没有实际帐户的人员可以使用 Guest 帐户。 如果已禁用某用户的帐户(但尚未删除),则该用户还可以使用 Guest 帐户。 Guest 帐户不需要密码。 可以像任何用户帐户一样设置 Guest 帐户的权限。 默认情况下,Guest 帐户是内置“Guests”组和“Domain Guests”全局组的成员,使用户可以登录到域。 默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。
Guests 组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-546 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | Domain Guests |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Hyper-V 管理员
“Hyper-V Administrators”组的成员拥有对 Hyper-V 所有功能的完整且不受限制的访问权。 向此组添加成员有助于减少 Administrators 组中所需的成员数,并进一步分离访问权限。
注意
在 Windows Server 2012 之前,对 Hyper-V 中功能的访问部分由 Administrators 组中的成员身份控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-578 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
IIS_IUSRS
IIS_IUSRS 是从 IIS 7 开始由 Internet Information Services (IIS) 使用的内置组。 操作系统保证内置帐户和组始终具有唯一的 SID。 IIS 7 将 IUSR_MachineName 帐户和 IIS_WPG 组替换为 IIS_IUSRS 组,以确保新帐户和组使用的实际名称永远不会本地化。 例如,无论安装的 Windows 操作系统的语言如何,IIS 帐户名将始终为 IUSR,组名将为 IIS_IUSRS。
有关详细信息,请参阅了解 IIS 7 中的内置用户和组帐户。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-568 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | IUSR |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Incoming Forest Trust Builders
“Incoming Forest Trust Builders”组的成员可以创建对此林的传入单向信任。 Active Directory 通过域和林信任关系提供跨多个域或林的安全性。 跨信任进行身份验证之前,Windows 必须确认用户、计算机或服务请求的域与请求帐户的登录域之间是否存在信任关系。
为做出此确认,Windows 安全系统将计算接收请求的服务器的域控制器和请求帐户的域中的域控制器之间的信任路径。 安全通道还通过域间信任关系扩展到其他 Active Directory 域。 此安全通道用于获取和验证安全信息,包括用户和组的 SID。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
有关详细信息,请参阅域和林信任的工作原理:域和林信任。
“Incoming Forest Trust Builders”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-557 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
密钥管理员
此组的成员可以对域中的关键对象执行管理操作。
“Key Admins”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-526 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Network Configuration Operators
“Network Configuration Operators”组的成员可以具有以下管理权限来管理网络功能的配置:
修改局域网 (LAN) 连接的传输控制协议/Internet 协议 (TCP/IP) 属性,其中包括 IP 地址、子网掩码、默认网关和名称服务器。
重命名所有用户可用的 LAN 连接或远程访问连接。
启用或禁用 LAN 连接。
修改用户的所有远程访问连接的属性。
删除用户的所有远程访问连接。
重命名用户的所有远程访问连接。
发出
ipconfig、ipconfig /release和ipconfig /renew命令。输入支持 SIM 卡的移动宽带设备的 PIN 解锁密钥 (PUK)。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
“Network Configuration Operators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-556 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
性能日志用户
“Performance Log Users”组的成员可以在服务器上本地管理性能计数器、日志和警报,也可以从远程客户端进行管理,而无需成为 Administrators 组的成员。 具体而言,此安全组的成员:
可以使用为 Performance Monitor Users 组提供的所有功能。
在为组分配作为批处理作业登录用户权限后,可以创建和修改数据收集器集。
警告
如果你是“Performance Log Users”组的成员,则必须将创建的数据收集器集配置为在你的凭据下运行。
注意
在 Windows Server 2016 及更高版本中,“Performance Log Users”组的成员无法创建数据收集器集。 如果“Performance Log Users”组的成员尝试创建数据收集器集,则他们无法完成该操作,因为访问被拒绝。
不能在数据收集器集中使用 Windows 内核跟踪事件提供程序。
要使“Performance Log Users”组的成员能够初始化数据记录,或修改数据收集器集,必须首先为该组分配作为批处理作业登录用户权限。 若要分配此用户权限,请使用 Microsoft 管理控制台 (MMC) 中的本地安全策略管理单元。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移动此帐户。
“Performance Log Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-559 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 以批处理作业身份登录:SeBatchLogonRight |
性能监视器用户
此组的成员可以从本地和远程客户端监视域中域控制器上的性能计数器,而无需成为“Administrators”或“Performance Log Users”组的成员。 Windows 性能监视器是 MMC 的一个管理单元,它提供了一些用于分析系统性能的工具。 仅从一个单独的控制台,即可监视应用程序和硬件性能,自定义要在日志中收集的数据,定义警报和自动操作的阈值,生成报告以及以各种方式查看过去的性能数据。
具体而言,此安全组的成员:
可以使用为 Users 组提供的所有功能。
可以在性能监视器中查看实时性能数据。
可以在查看数据时更改性能监视器显示属性。
无法创建或修改数据收集器集。
警告
“Performance Monitor Users”组的成员无法配置数据收集组。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
“Performance Monitor Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-558 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
Pre–Windows 2000 Compatible Access
“Pre–Windows 2000 Compatible Access”组的成员对域中的所有用户和组都具有读取访问权限。 提供此组是为了向后兼容运行 Windows NT 4.0 及更早版本的计算机。 默认情况下,特殊标识组“Everyone”是此组的成员。 仅当用户运行 Windows NT 4.0 或更早版本时,才将用户添加到此组。
警告
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。
“Pre–Windows 2000 Compatible Access”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-554 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 如果选择 Pre–Windows 2000 Compatible Permissions 模式,则其成员包括 Everyone 和 Anonymous。 如果选择 Windows 2000-only Permissions 模式,则其成员为 Authenticated Users。 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 从网络访问此计算机:SeNetworkLogonRight 跳过遍历检查:SeChangeNotifyPrivilege |
打印操作员
此组的成员可以管理、创建、共享和删除连接到域中域控制器的打印机。 他们还可以管理域中的 Active Directory 打印机对象。 此组的成员可以在本地登录到并关闭域中的域控制器。
此组中没有默认的成员。 由于此组的成员可以在域中的所有域控制器上加载和卸载设备驱动程序,因此请谨慎添加用户。 无法重命名、删除或移除此组。
“Print Operators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
有关详细信息,请参阅在 Windows Server 2012 中分配委派的打印管理员和打印机权限设置。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-550 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight 加载和卸载设备驱动程序:SeLoadDriverPrivilege 关闭系统:SeShutdownPrivilege |
Protected Users
“Protected Users”组的成员具有额外的保护,可防止在身份验证过程中泄露凭据。
此安全组设计为战略的一部分,以有效地保护和管理企业中的凭据。 此组的成员会自动对其帐户应用不可配置的保护。 在默认情况下,受保护的用户组中的成员身份意味着受到限制并主动保护。 修改帐户保护的唯一方法是从安全组中删除该帐户。
从 Windows Server 2012 R2 和 Windows 8.1 操作系统开始,此与域相关的全局组会在设备和主机上触发不可配置的保护。 它还会在具有运行 Windows Server 2016 或 Windows Server 2012 R2 的主域控制器的域中的域控制器上触发不可配置的保护。 当用户从未受损害的计算机登录到网络上的计算机时,此保护会大大减少凭据的内存占用。
根据该帐户的域功能级别,由于 Windows 中所支持的身份验证方法的行为更改,“Protected Users”组的成员将进一步受保护:
“Protected Users”组的成员无法使用以下安全支持提供程序 (SSP) 进行身份验证:NTLM、摘要式身份验证或 CredSSP。 密码不会缓存在运行 Windows 10 或 Windows 8.1 的设备上,因此当帐户是“Protected Users”组的成员时,设备无法向域进行身份验证。
Kerberos 协议不会在预身份验证过程中使用较弱的 DES 或 RC4 加密类型。 必须将域配置为至少支持 AES 加密套件。
无法通过 Kerberos 约束委派或不受约束的委派对用户帐户进行委派。 如果用户是“Protected Users”组的成员,则之前对其他系统的连接可能会失败。
可以使用 Active Directory 管理中心中的身份验证策略和接收器将默认的 Kerberos 票证授予票证 (TGT) 生存期设置更改为四小时。 在默认设置中,超过四小时后,用户必须再次进行身份验证。
“Protected Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
该组是在 Windows Server 2012 R2 中引入的。 有关该组工作原理的详细信息,请参阅 Protected Users 安全组。
下表指定“Protected Users”组的属性:
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-525 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
RAS 和 IAS 服务器
作为“RAS and IAS Servers”组成员的计算机在正确配置后可以使用远程访问服务。 默认情况下,该组没有任何成员。 运行路由和远程访问服务 (RRAS) 和远程访问服务(如 Internet 身份验证服务 (IAS) 和网络策略服务器)的计算机会自动添加到该组中。 此组的成员有权访问用户对象的某些属性,例如读取帐户限制、读取登录信息和读取远程访问信息。
“RAS and IAS Servers”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-553 |
| 类型 | 本地内置 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
RDS 终结点服务器
属于“RDS Endpoint Servers”组成员的服务器可以运行虚拟机并托管运行用户 RemoteApp 程序和个人虚拟机的会话。 必须在运行 RD 连接代理的服务器上填充此组。 部署中使用的会话主机服务器和 RD 虚拟化主机服务器必须位于此组。
有关远程桌面服务 (RDS) 的信息,请参阅远程桌面服务中的主机桌面和应用。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-576 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
RDS Management Servers
可以使用属于“RDS Management Servers”组成员的服务器在运行 RDS 的服务器上完成例行管理操作。 必须在 RDS 部署中的所有服务器上填充此组。 运行 RDS 中央管理服务的服务器必须包含在此组中。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-577 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
RDS Remote Access Servers
“RDS Remote Access Servers”组中的服务器为用户提供对 RemoteApp 程序和个人虚拟机的访问权限。 在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。 必须在运行 RD 连接代理的服务器上填充此组。 部署中使用的 RD 网关服务器和 RD Web 访问服务器必须位于此组。
有关详细信息,请参阅在远程桌面服务中托管桌面和应用。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-575 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
只读域控制器
此组由域中的 RODC 组成。 RODC 使组织能够在以下环境中轻松部署域控制器:物理安全性无法得到保证的环境(如分支机构),或者所有域密码的本地存储都被视为主要威胁的环境(如 Extranet 或面向应用程序的角色中)。
由于可以将 RODC 管理委派给域用户或安全组,因此 RODC 非常适合于不具有“Domain Admins”组成员用户的站点。 RODC 具有以下功能:
包含只读 AD DS 数据库
单向复制
凭据缓存
管理员角色分隔
包含只读域名系统 (DNS)
有关详细信息,请参阅了解只读域控制器的规划和部署。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-521 |
| 类型 | 全球 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | Denied RODC Password Replication |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
Remote Desktop Users
使用 RD 会话主机服务器上的“Remote Desktop Users”组授予用户和组远程连接到 RD 会话主机服务器的权限。 无法重命名、删除或移除此组。 此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。
“Remote Desktop Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-555 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
远程管理用户
“Remote Management Users”组的成员可以通过 Windows 远程管理服务通过管理协议(如 WS-Management)访问 Windows Management Instrumentation (WMI) 资源。 对 WMI 资源的访问权限仅适用于向用户授予访问权限的 WMI 命名空间。
用户可以使用“Remote Management Users”组通过服务器管理器控制台管理服务器。 用户可以使用 WinRMRemoteWMIUsers\_ 组远程运行 Windows PowerShell 命令。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-580 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
复制程序
属于 Replicator 组成员的计算机支持在域中复制文件。 Windows Server 操作系统使用文件复制服务 (FRS) 复制存储在系统卷文件夹(sysvol 文件夹)的系统策略和登录脚本。 每个域控制器都会保留 sysvol 文件夹的副本,供网络客户端访问。 FRS 还可以复制分布式文件系统 (DFS) 的数据,并同步 DFS 定义的副本集中每个成员的内容。 FRS 可以同时复制和维护多个服务器上的共享文件和文件夹。 发生更改时,内容将立即在网站内同步,并按计划在网站之间同步。
警告
在 Windows Server 2008 R2 中,不能使用 FRS 复制 DFS 文件夹或自定义(非 sysvol)数据。 Windows Server 2008 R2 域控制器仍然能够使用 FRS 在域中复制 sysvol 文件夹共享资源的内容,该域使用 FRS 复制域控制器之间的 sysvol 文件夹共享资源。 但是,Windows Server 2008 R2 服务器不能使用 FRS 复制除 sysvol 文件夹共享资源之外的任何副本集的内容。 DFS 复制服务是 FRS 的替代项。 可以使用 DFS 复制来复制 sysvol 文件夹共享资源、DFS 文件夹和其他自定义(非 sysvol)数据的内容。 应将所有非 sysvol FRS 副本集迁移到 DFS 复制。
有关详细信息,请参阅:
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-552 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |
Schema Admins
“Schema Admins”组的成员可以修改 Active Directory 架构。 该组仅存在于域的 Active Directory 林的根域中。 如果域处于纯模式,则该组是通用组。 如果域处于混合模式,则该组是全局组。
该组有权在 Active Directory 中更改架构。 默认情况下,组的唯一成员是林根域的 Administrator 帐户。 该组对架构具有完全管理访问权限。
根域中的任何服务管理员组都可以修改此组的成员身份。 此组被视为服务管理员帐户,因为其成员可以修改架构,该架构控制整个目录的结构和内容。
有关详细信息,请参阅什么是 Active Directory 架构?
“Schema Admins”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<root domain>-518 |
| 类型 | 为通用(如果域处于纯模式),否则为全局 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 管理员 |
| 默认成员 | Denied RODC Password Replication |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
Server Operators
“Server Operators”组的成员可以管理域控制器。 该组仅存在于域控制器上。 默认情况下,该组没有任何成员。 “Server Operators”组的成员可以执行以下操作:以交互方式登录到服务器、创建和删除网络共享资源、启动和停止服务、备份和还原文件、格式化计算机的硬盘驱动器,以及关闭计算机。 无法重命名、删除或移除此组。
默认情况下,此内置组没有成员。 该组有权访问域控制器上的服务器配置选项。 其成员身份由域中的服务管理员组“Administrators”和“Domain Admins”以及林根域中的“Enterprise Admins”组控制。 此组中的成员无法更改任何管理组成员身份。 此组被视为服务管理员帐户,因为其成员对域控制器具有物理访问权限。 此组的成员可以执行备份和还原等维护任务,并且可以更改域控制器上安装的二进制文件。 请参阅下表中的组默认用户权限。
“Server Operators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-549 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 是 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 更改系统时间:SeSystemTimePrivilege 更改时区:SeTimeZonePrivilege 从远程系统强制关机:SeRemoteShutdownPrivilege 还原文件和目录:还原文件和目录 SeRestorePrivilege 关闭系统:SeShutdownPrivilege |
Storage Replica Administrators
“Storage Replica Administrators”组的成员对存储副本的所有功能具有完全且不受限制的访问权限。 “Storage Replica Administrators”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-582 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
System Managed Accounts
“System Managed Accounts”组的成员身份由系统管理。
“System Managed Accounts”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-581 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 用户 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Terminal Server License Servers
“Terminal Server License Servers”组的成员可以使用有关许可证颁发的信息更新 Active Directory 中的用户帐户。 组用于跟踪和报告 TS 每用户 CAL 使用情况。 TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器实例的权限。 此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
有关此安全组的详细信息,请参阅 Terminal Services License Server 安全组配置。
“Terminal Services License Server”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-561 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 移出默认容器是否安全? | 无法移动 |
| 受 AdminSDHolder 保护吗? | 否 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
用户
“Users”组的成员被阻止进行意外的或有意的系统级更改。 此组的成员可以运行大多数应用程序。 初始安装操作系统后,唯一的成员是“Authenticated Users”组。 当计算机加入域时,“Domain Users”组将添加到计算机上的“Users”组。
用户可以执行运行应用程序、使用本地和网络打印机、关闭计算机和锁定计算机等任务。 如果应用程序的安装程序支持每用户安装,则用户可以安装只有他们才能使用的应用程序。 无法重命名、删除或移除此组。
“Users”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
此安全组包括自 Windows Server 2008 以来的以下更改:
在 Windows Server 2008 R2 中,“Interactive”组已添加到默认成员列表。
在 Windows Server 2012 中,默认的“成员属于”列表已从“Domain Users”更改为“无”。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-545 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | Authenticated Users |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 无 |
Windows Authorization Access
此组的成员有权访问用户对象上的计算令牌 GroupsGlobalAndUniversal 属性。 某些应用程序具有读取用户帐户对象或 AD DS 中的计算机帐户对象上的 token-groups-global-and-universal (TGGAU) 属性的功能。 某些 Win32 函数可以更轻松地读取 TGGAU 属性。 如果调用安全上下文无权访问此属性,则读取此属性或调用读取此属性的 API(函数)的应用程序不会成功。 此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
“Windows Authorization Access”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-32-560 |
| 类型 | 本地内置 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 企业域控制器 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是 |
| 默认用户权限 | 无 |
WinRMRemoteWMIUsers_
在 Windows Server 2012 和 Windows 8 中,“高级安全设置”用户界面中添加了一个“共享”选项卡。 此选项卡显示远程文件共享的安全属性。 若要查看此信息,必须具有以下权限和成员身份,具体取决于文件服务器正在运行的 Windows Server 版本。
“WinRMRemoteWMIUsers_”组适用于默认 Active Directory 安全组中的 Windows Server 操作系统。
如果文件共享托管在运行受支持的操作系统版本的服务器上:
你必须是“WinRMRemoteWMIUsers__”组或“BUILTIN\Administrators”组的成员。
必须对文件共享具有读取权限。
如果文件共享托管在运行早于 Windows Server 2012 的 Windows Server 版本的服务器上:
你必须是“BUILTIN\Administrators”组的成员。
必须对文件共享具有读取权限。
在 Windows Server 2012 中,“拒绝访问协助”功能会将“Authenticated Users”组添加到本地“WinRMRemoteWMIUsers__”组。 启用“拒绝访问协助”功能后,所有对文件共享具有读取权限的经过身份验证的用户都可以查看文件共享权限。
注意
“WinRMRemoteWMIUsers__”组允许远程运行 Windows PowerShell 命令。 相反,通常使用 Remote Management Users 组来允许用户使用服务器管理器控制台管理服务器。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-<variable RI> |
| 类型 | 域本地组 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 受 AdminSDHolder 保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | 无 |