附录 B：Active Directory 特权帐户和组参考指南

Active Directory 域服务包含许多内置帐户和组，这些帐户和组被授予执行管理任务的提升权限。 这些特权帐户被授予强大的权限、特权和权限，允许它们在 Active Directory 和已加入域的系统上执行几乎任何作。

本附录提供有关以下内容的基本信息：

• 权利、特权和许可。
• 最高权限组。
• 内置和默认帐户。

了解这些特权帐户和组对于实施有效的安全控制和监控策略至关重要。 本附录中的信息是随附附录中提供的具体安全建议和实施指南的基础。

Active Directory 中的权限、特权和权限

权限、权限和特权之间的差异可能会令人困惑。 本节介绍本文档中使用的每个特征的一些特征。 这些说明不应被视为其他 Microsoft 文档的权威性，因为它可能会以不同的方式使用这些术语。

权利和特权

权限和特权实际上是授予安全主体（如用户、服务、计算机或组）的相同系统范围的功能。 在 IT 专业人员通常使用的接口中，它称为 权限 或 用户权限， 它们通常由组策略对象分配。 以下屏幕截图显示一些可分配给安全主体的最常见的用户权限（它代表 Windows Server 2012 域中的默认域控制器 GPO）。 其中一些权限适用于 Active Directory，（例如“启用受信任的计算机和用户帐户以进行委派”用户权限），而其他权限则适用于 Windows 操作系统（例如“更改系统时间”）。

在组策略对象编辑器等界面中，所有这些可分配的功能都被统称为用户权限。 然而，实际上，一些用户权限以编程方式称为权限，而其他用户权限以编程方式称为特权。 虽然组策略和其他界面将所有这些内容都称为用户权限，但有些内容以编程方式标识为权限，而另一些则被定义为特权。

有关下表中列出的每个用户权限的详细信息，请参阅威胁 和对策指南： Windows Server 威胁 和漏洞缓解 指南中的用户权限

Permissions

权限是适用于安全对象（如文件系统、注册表、服务和 Active Directory 对象）的访问控制。 每个安全对象都有一个关联的访问控制列表 (ACL)，其中包含授予或拒绝安全主体（用户、服务、计算机或组）对对象执行各种操作的功能的访问控制条目 (ACE)。 例如，Active Directory 中许多对象的 ACL 包含 ACE，这些 ACE 允许经过身份验证的用户读取有关对象的常规信息，但不授予他们读取敏感信息或更改对象的能力。 除了每个域的内置来宾帐户外，默认情况下，登录并由 Active Directory 林或受信任林中的域控制器进行身份验证的每个安全主体都已将经过身份验证的用户安全标识符 （SID） 添加到其访问令牌中。 因此，无论是用户、服务还是计算机帐户尝试读取域中用户对象的一般属性，读取操作都会成功。

如果安全主体尝试访问未定义 ACE 且包含主体访问令牌中存在的 SID 的对象，则主体无法访问该对象。 此外，如果对象 ACL 中的 ACE 包含与用户访问令牌匹配的 SID 的拒绝条目，则拒绝 ACE 通常会替代冲突的允许 ACE。 有关 Windows 中访问控制的详细信息，请参阅 MSDN 网站上的访问控制。

在本文档中， 权限 是指向安全对象的安全主体授予或拒绝的功能。 每当用户权限和权限之间发生冲突时，用户权限通常优先。 例如，如果 Active Directory 中的对象配置了拒绝管理员对对象的所有读写访问权限的 ACL，则属于域的 Administrators 组成员的用户无法查看有关该对象的大量信息。 但是，由于 Administrators 组被授予用户权限 获取文件或其他对象的所有权，因此用户可以简单地获取相关对象的所有权，然后重写对象的 ACL 以授予管理员对对象的完全控制权。

正是出于这个原因，本文档鼓励你避免使用功能强大的帐户和组进行日常管理，而不是尝试限制帐户和组的功能。 无法有效地阻止有权访问强大凭据的确定用户使用这些凭据来获取对任何安全资源的访问权限。

内置特权帐户和组

Active Directory 旨在促进委派管理和分配权限和许可时的最小特权原则。 默认情况下，在 Active Directory 域中拥有帐户的普通用户能够读取目录中存储的大部分内容，但只能更改目录中的一组有限数据。 需要额外权限的用户可以被授予目录中内置的各种特权组的成员身份，以便他们可以执行与其角色相关的特定任务，但无法执行与其职责无关的任务。

Active Directory 中存在三个内置组，这些组摆阔目录中的最高特权组，以及第四个组，即架构管理员 (SA) 组：

• 企业管理员 (EA)
• 域管理员 (DA)
• 内置管理员 (BA)
• 架构管理员 (SA)

如果滥用架构管理员 (SA) 组拥有的特权，则可能会损坏或破坏整个 Active Directory 林，但此组的功能比 EA、DA 和 BA 组更加受限。

除了这四个组之外，Active Directory 中还有许多额外的内置和默认帐户和组，每个帐户和组都被授予允许执行特定管理任务的权限和权限。 尽管本附录没有全面讨论 Active Directory 中的每个内置组或默认组，但它确实提供了您最有可能在安装中看到的组和帐户的表。

例如，如果将 Microsoft Exchange Server 安装到 Active Directory 林中，则可能会在域的“内置”和“用户”容器中创建额外的帐户和组。 本附录仅描述了基于本机角色和功能在 Active Directory 的内置和用户容器中创建的组和帐户。 不包括通过安装企业软件创建的帐户和组。

Enterprise Admins

Enterprise Admins （EA） 组位于林根域中，默认情况下，它是林中每个域中内置 Administrators 组的成员。 目录林根级域中的内置管理员帐户是 EA 组的唯一默认成员。 EA 被授予允许它们影响林范围的更改的权限和许可。 这些更改会影响林中的所有域，例如添加或删除域、建立林信任或提高林功能级别。 在经过精心设计并实现的委派模型中，仅当首次构造林或进行某些林范围的更改（例如建立出站林信任）时，才需要 EA 成员身份。

默认情况下，EA 组位于林根域的“用户”容器中，并且是通用安全组，除非林根域在 Windows 2000 Server 混合模式下运行，在这种情况下，该组是全局安全组。 尽管某些权限直接授予 EA 组，但此组的许多权限由 EA 组继承，因为它是林中每个域中 Administrators 组的成员。 企业管理员在工作站或成员服务器上没有默认权限。

Domain Admins

林中的每个域都有自己的域管理员 (DA) 组，该组是该域的内置管理员 (BA) 组的成员，也是加入该域的每台计算机上的本地管理员组的成员。 域的 DA 组的唯一默认成员是该域的内置管理员帐户。

DA 在其域中无所不能，而 EA 只具有林范围的特权。 在正确设计和实现的委派模型中，仅在 破玻璃 方案中才需要 DA 成员身份，在这种情况下，需要在域中的每台计算机上具有高级别特权的帐户，或者必须进行某些域范围的更改。 尽管本机 Active Directory 委派机制确实允许委派，以至于只能在紧急情况下使用 DA 帐户，但构建有效的委派模型可能非常耗时，并且许多组织使用第三方应用程序来加快该过程。

DA 组是位于域的用户容器中的全局安全组。 林中的每个域都有一个 DA 组，DA 组的唯一默认成员是域的内置管理员帐户。 由于域的 DA 组嵌套在域的 BA 组和每个已加入域的系统的本地 Administrators 组中，因此 DA 不仅具有授予域管理员的权限，而且还继承授予域的 Administrators 组和加入域的所有系统上的本地 Administrators 组的所有权限和权限。

Administrators

内置管理员 （BA） 组是域内置容器中的域本地组，DA 和 EA 嵌套在其中，正是该组被授予目录和域控制器上的许多直接权限和权限。 但是，域的 Administrators 组对成员服务器或工作站没有任何权限。 已加入域的计算机的本地管理员组中的成员身份是授予本地特权的位置；在所讨论的组中，默认情况下只有 DA 是所有已加入域的计算机的本地管理员组的成员。

管理员组是域内置容器中的域本地组。 默认情况下，每个域的 BA 组都包含本地域的内置管理员帐户、本地域的 DA 组和目录林根级域的 EA 组。 Active Directory 和域控制器上的许多用户权限都仅授予管理员组，而不是授予 EA 或 DA。 域的 BA 组被授予对大多数 Directory 对象的完全控制权限，并且可以获取对 Directory 对象的所有权。 尽管 EA 和 DA 组在林和域中被授予某些特定于对象的权限，但组的大部分功能都是从它们在 BA 组中的成员身份继承的。

Schema Admins

架构管理员 (SA) 组是目录林根级域中的一个通用组，并且仅将该域的内置管理员帐户作为默认成员，这类似于 EA 组。 尽管 SA 组中的成员身份可以允许攻击者入侵作为整个 Active Directory 林框架的 Active Directory 架构，但 SA 几乎没有超出该架构的默认权限和许可。

应仔细管理和监视 SA 组中的成员身份，但在某些方面，此组的特权低于前面描述的三个最高特权组，因为其特权范围很窄;也就是说，SA 在架构之外的任何地方都没有管理权限。

Active Directory 中的其他内置组和默认组

为了便于在目录中委派管理，Active Directory 随附各种已被授予特定权限和许可的内置组和默认组。 下表简要介绍了这些组。

以下部分列出了 Active Directory 中的内置组和默认组。 默认情况下，两个组都存在；但是，内置组（默认情况下）位于 Active Directory 的内置容器中，而默认组（默认情况下）位于 Active Directory 的用户容器中。 内置容器中的组都是域本地组，而用户容器中的组除了是三个单独的用户帐户（管理员、来宾和 Krbtgt）之外，还是域本地组、全局组和通用组的混合组。

除了本附录前面介绍的最高特权组之外，一些内置和默认帐户及组还被授予了提升的特权且也应该受到保护，并且只能在安全的管理主机上使用。 由于其中一些组和帐户被授予了可能被滥用以破坏 Active Directory 或域控制器的权限和权限，因此它们将获得更多保护，如 附录 C：Active Directory 中受保护的帐户和组中所述。

门禁辅助操作员

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以远程查询此计算机上资源的授权属性和权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本中的 Active Directory。

Account Operators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 成员可以管理域用户和组帐户。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Administrator account

• 默认容器、组范围和类型： 用户容器，不是组
• 描述和默认用户权限： 用于管理域的内置帐户。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 为进程调整内存配额
  • 允许本地登录
  • 允许通过远程桌面服务登录
  • 备份文件和目录
  • 绕过遍历检查
  • 更改系统时间
  • 更改时区
  • 创建页面文件
  • 创建全局对象
  • 创建符号链接
  • Debug programs
  • 支持信任计算机和用户帐户以执行委派
  • 强制从远程系统关闭
  • 在身份验证后模拟客户端
  • 增加进程工作集
  • 提高计划优先级
  • 加载和卸载设备驱动程序
  • 作为批处理作业登录
  • 管理审核和安全日志
  • 修改固件环境值
  • 执行卷维护任务
  • 配置文件单一进程
  • 配置文件系统性能
  • 从扩展坞中移除计算机
  • 还原文件和目录
  • 关闭系统
  • 获取文件或其他对象的所有权

Administrators group

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 管理员对域具有完全且不受限制的访问权限。
• 直接用户权限：
  • 从网络访问此计算机
  • 为进程调整内存配额
  • 允许本地登录
  • 允许通过远程桌面服务登录
  • 备份文件和目录
  • 绕过遍历检查
  • 更改系统时间
  • 更改时区
  • 创建页面文件
  • 创建全局对象
  • 创建符号链接
  • Debug programs
  • 支持信任计算机和用户帐户以执行委派
  • 强制从远程系统关闭
  • 在身份验证后模拟客户端
  • 提高计划优先级
  • 加载和卸载设备驱动程序
  • 作为批处理作业登录
  • 管理审核和安全日志
  • 修改固件环境值
  • 执行卷维护任务
  • 配置文件单一进程
  • 配置文件系统性能
  • 从扩展坞中移除计算机
  • 还原文件和目录
  • 关闭系统
  • 获取文件或其他对象的所有权
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

允许的 RODC 密码复制组

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组中的成员可以将其密码复制到域中的所有只读域控制器。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Backup Operators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 备份操作员可以覆盖安全限制，仅用于备份或恢复文件。
• 直接用户权限：
  • 允许本地登录
  • 备份文件和目录
  • 作为批处理作业登录
  • 还原文件和目录
  • 关闭系统
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Cert Publishers

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 允许此组的成员将证书发布到目录。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

证书服务 DCOM 访问

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 如果证书服务安装在域控制器上 （不推荐） ，则此组将向域用户和域计算机授予 DCOM 注册访问权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

可克隆域控制器

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 可以克隆此组的域控制器成员。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本中的 Active Directory。

Cryptographic Operators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 成员有权执行加密作。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Debugger Users

• 默认容器、组范围和类型： 这既不是默认组，也不是内置组，但当存在于 AD DS 中时，需要进一步调查。
• 描述和默认用户权限： 调试器用户组的存在表示调试工具已在某个时间点安装在系统上，无论是通过 Visual Studio、SQL、Office 还是其他需要和支持调试环境的应用程序。 此组允许对计算机进行远程调试访问。 如果此组存在于域级别，则表示在域控制器上安装了调试程序或包含调试程序的应用程序。

拒绝的 RODC 密码复制组

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组中的成员不能将其密码复制到域中的任何只读域控制器。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

DHCP Administrators

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组的成员具有对 DHCP 服务器服务的管理访问权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

DHCP Users

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组的成员对 DHCP 服务器服务具有仅查看访问权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

分布式 COM 用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 允许此组的成员在此计算机上启动、激活和使用分布式 COM 对象。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

DnsAdmins

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组的成员具有对 DNS 服务器服务的管理访问权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

DnsUpdateProxy

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 此组的成员是 DNS 客户端，他们被允许代表无法自行执行动态更新的客户端执行动态更新。 此组的成员通常为 DHCP 服务器。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Domain Admins

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 域的指定管理员;域管理员是每台已加入域的计算机的本地管理员组的成员，除了域的管理员组外，还接收授予本地管理员组的权限和权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 为进程调整内存配额
  • 允许本地登录
  • 允许通过远程桌面服务登录
  • 备份文件和目录
  • 绕过遍历检查
  • 更改系统时间
  • 更改时区
  • 创建页面文件
  • 创建全局对象
  • 创建符号链接
  • Debug programs
  • 支持信任计算机和用户帐户以执行委派
  • 强制从远程系统关闭
  • 在身份验证后模拟客户端
  • 增加进程工作集
  • 提高计划优先级
  • 加载和卸载设备驱动程序
  • 作为批处理作业登录
  • 管理审核和安全日志
  • 修改固件环境值
  • 执行卷维护任务
  • 配置文件单一进程
  • 配置文件系统性能
  • 从扩展坞中移除计算机
  • 还原文件和目录
  • 关闭系统
  • 获取文件或其他对象的所有权

Domain Computers

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 默认情况下，加入域的所有工作站和服务器都是此组的成员。
• 默认的直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Domain Controllers

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 域中的所有域控制器。 注意：域控制器不是域计算机组的成员。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Domain Guests

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 域中的所有来宾
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Domain Users

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 域中的所有用户
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Enterprise Admins

• 默认容器、组范围和类型： 用户容器、通用安全组
• 描述和默认用户权限： 企业管理员有权更改林范围的配置设置;Enterprise Admins 是每个域的 Administrators 组的成员，并接收授予该组的权限和权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 为进程调整内存配额
  • 允许本地登录
  • 允许通过远程桌面服务登录
  • 备份文件和目录
  • 绕过遍历检查
  • 更改系统时间
  • 更改时区
  • 创建页面文件
  • 创建全局对象
  • 创建符号链接
  • Debug programs
  • 支持信任计算机和用户帐户以执行委派
  • 强制从远程系统关闭
  • 在身份验证后模拟客户端
  • 增加进程工作集
  • 提高计划优先级
  • 加载和卸载设备驱动程序
  • 作为批处理作业登录
  • 管理审核和安全日志
  • 修改固件环境值
  • 执行卷维护任务
  • 配置文件单一进程
  • 配置文件系统性能
  • 从扩展坞中移除计算机
  • 还原文件和目录
  • 关闭系统
  • 获取文件或其他对象的所有权
• 注意：仅存在于林根域中。

企业只读域控制器

• 默认容器、组范围和类型： 用户容器、通用安全组
• 描述和默认用户权限： 此组包含林中所有只读域控制器的帐户。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

事件日志读取器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以读取域控制器上的事件日志。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

组策略创建者所有者

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 此组的成员可以在域中创建和修改组策略对象。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Guest

• 默认容器、组范围和类型： 用户容器，不是组
• 描述和默认用户权限： 这是 AD DS 域中唯一未将经过身份验证的用户 SID 添加到其访问令牌的帐户。 因此，此帐户将无法访问配置为授予对经过身份验证的用户组的访问权限的任何资源。 对于域来宾和来宾组的成员，此行为并非如此，但是这些组的成员确实将经过身份验证的用户 SID 添加到其访问令牌中。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 绕过遍历检查
  • 增加进程工作集

Guests

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 默认情况下，来宾与 Users 组的成员具有相同的访问权限，但 Guest 帐户除外，该帐户如前所述受到进一步限制。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Hyper-V Administrators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 该组的成员可以完全且不受限制地访问 Hyper-V 的所有功能。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。

IIS_IUSRS

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： Internet Information Services 使用的内置组。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

传入林信任生成器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以创建对此林的传入单向信任。 （出站林信任的创建保留给企业管理员。此组的成员可以创建允许 TGT 委派的传入信任，这可能导致林遭到入侵。 若要详细了解跨传入信任的 TGT 委派，请参阅 Windows Server 中跨传入信任的 TGT 委派的更新。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：仅存在于林根域中。

Krbtgt

• 默认容器、组范围和类型： 用户容器，不是组
• 描述和默认用户权限： Krbtgt 帐户是域中 Kerberos 密钥分发中心的服务帐户。 此帐户具有对存储在 Active Directory 中的所有帐户的凭据的访问权限。 默认情况下，禁用此帐户，永远不应启用
• 用户权限：不适用

网络配置运营商

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员被授予权限，允许他们管理网络功能的配置。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

性能日志用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以计划性能计数器的日志记录、启用跟踪提供程序，以及在本地和通过远程访问计算机收集事件跟踪。
• 直接用户权限：
  • 作为批处理作业登录
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

性能监视器用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以在本地和远程访问性能计数器数据。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Windows 2000 以前版本兼容的访问

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的存在是为了向后兼容 Windows 2000 Server 之前的作系统，它为成员提供了读取域中用户和组信息的能力。
• 直接用户权限：
  • 从网络访问此计算机
  • 绕过遍历检查
• 继承的用户权限：
  • 将工作站添加到域
  • 增加进程工作集

Print Operators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以管理域打印机。
• 直接用户权限：
  • 允许本地登录
  • 加载和卸载设备驱动程序
  • 关闭系统
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

RAS 和 IAS 服务器

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组中的服务器可以读取域中用户帐户的远程访问属性。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

RDS 端点服务器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组中的服务器运行虚拟机并托管运行用户 RemoteApp 程序和个人虚拟桌面的会话。 需要在运行 RD 连接代理的服务器上填充此组。 部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要位于此组。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。

RDS 管理服务器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组中的服务器可以在运行远程桌面服务的服务器上执行常规管理作。 需要在远程桌面服务部署中的所有服务器上填充此组。 运行 RDS 中央管理服务的服务器必须包含在此组中。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。

RDS 远程访问服务器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组中的服务器使 RemoteApp 程序和个人虚拟桌面的用户能够访问这些资源。 在面向 Internet 的部署中，这些服务器通常部署在边缘网络中。 需要在运行 RD 连接代理的服务器上填充此组。 部署中使用的 RD 网关服务器和 RD Web 访问服务器需要位于此组。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。

只读域控制器

• 默认容器、组范围和类型： 用户容器，全局安全组
• 描述和默认用户权限： 此组包含域中的所有只读域控制器。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

远程桌面用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员被授予使用 RDP 远程登录的权限。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

远程管理用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以通过管理协议访问 WMI 资源 （，例如通过 Windows 远程管理服务） WS-Management。 这仅适用于向用户授予访问权限的 WMI 命名空间。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。

Replicator

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 支持域中的旧文件复制。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

Schema Admins

• 默认容器、组范围和类型： 用户容器、通用安全组
• 描述和默认用户权限： 架构管理员是唯一可以对 Active Directory 架构进行修改的用户，并且仅当架构启用了写入功能时。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：仅存在于林根域中。

Server Operators

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以管理域控制器。
• 直接用户权限：
  • 允许本地登录
  • 备份文件和目录
  • 更改系统时间
  • 更改时区
  • 强制从远程系统关闭
  • 还原文件和目录
  • 关闭系统
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

终端服务器许可证服务器

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以使用有关许可证颁发的信息更新 Active Directory 中的用户帐户，以便跟踪和报告 TS 每用户 CAL 使用情况
• 默认的直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

用户

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 用户具有允许他们读取 Active Directory 中的许多对象和属性的权限，尽管它们无法更改大部分对象和属性。 用户不能进行意外或有意的系统范围更改，但可以运行大多数应用程序。
• 直接用户权限：
  • 增加进程工作集
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查

Windows 授权访问组

• 默认容器、组范围和类型： 内置容器，域本地安全组
• 描述和默认用户权限： 此组的成员有权访问 User 对象上计算的 tokenGroupsGlobalAndUniversal 属性
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集

WinRMRemoteWMIUsers_

• 默认容器、组范围和类型： 用户容器，域本地安全组
• 描述和默认用户权限： 此组的成员可以通过管理协议访问 WMI 资源 （，例如通过 Windows 远程管理服务） WS-Management。 这仅适用于向用户授予访问权限的 WMI 命名空间。
• 直接用户权限：无
• 继承的用户权限：
  • 从网络访问此计算机
  • 将工作站添加到域
  • 绕过遍历检查
  • 增加进程工作集
• 注意：Windows Server 2012 及更高版本。