本文讨论默认 Active Directory 安全组、组范围和组函数。
Active Directory 中的安全组是什么?
Active Directory 有两种形式的常见安全主体:用户帐户和计算机帐户。 这些帐户代表一个是个人或计算机的物理实体。 用户帐户还可以用作某些应用程序的专用服务帐户。
安全组是一种将用户帐户、计算机帐户和其他组收集到可管理单元中的方法。
在 Windows Server作系统(OS)中,使用适当的权限和权限预配置多个内置帐户和安全组来执行特定任务。 在 Active Directory 中,管理职责分为两种类型的管理员:
- 服务管理员:负责维护和传送 Active Directory 域服务(AD DS),包括管理域控制器和配置 AD DS
- 数据管理员:负责维护存储在 AD DS 和域成员服务器和工作站中的数据
Active Directory 安全组的工作原理
可以使用组将用户帐户、计算机帐户和其他组收集到可管理的单元中。 使用组而不是单个用户有助于简化网络维护和管理。
Active Directory 有两种类型的组:
- 安全组:用于向共享资源分配权限。
- 通讯组:用于创建电子邮件通讯组列表。
安全组
安全组可以提供一种有效的方法来分配网络资源的访问权限。 使用安全组可以执行以下操作:
将用户权限分配给 Active Directory 中的安全组。
可以将用户权限分配给安全组,以决定该组成员可以在域或森林范围内执行哪些操作。 安装 Active Directory 时,用户权限会自动分配给某些安全组,以帮助管理员在域中定义人员的管理角色。
例如,添加到 Active Directory 中的备份操作员组的用户可以备份和还原位于域中每个域控制器上的文件和目录。 用户可以完成这些操作,因为默认情况下,用户权限“备份文件和目录”和“还原文件和目录”会自动分配给“Backup Operators”组。 因此,此组的成员将继承分配给该组的用户权限。
可以使用组策略将用户权限分配给安全组以委派特定任务。 有关使用组策略的详细信息,请参阅用户权限分配。
为安全组分配资源的权限。
权限与用户权限不同。 将权限分配给共享资源的安全组。 权限确定可以访问资源的对象以及访问级别,例如“完全控制”或“读取”。 将自动分配某些域对象上设置的权限,以允许针对默认安全组(如“Account Operators”组或“Domain Admins”组)的各种访问级别。
安全组以自由访问控制列表(DACL)列出,这些列表定义对资源和对象的权限。 管理员为文件共享或打印机等资源分配权限时,他们应将这些权限分配给安全组,而不是单个用户。 权限一次性分配给组,而不是多次分配给每个用户。 添加到组的每个帐户都会收到在 Active Directory 中分配给该组的权限。 用户接收为该组定义的权限。
你可以将安全组用作电子邮件实体。 将电子邮件发送到安全组时,会将该邮件发送到该组的所有成员。
通讯组
只能使用通讯组通过电子邮件应用程序(如 Exchange Server)向用户集合发送电子邮件。 通讯组未启用安全性,因此不能将它们包含在 DACL 中。
组范围
每个组都有一个范围,用于标识该组在域树或林中的应用程度。 组的范围定义可以为组授予权限的网络区域。 Active Directory 定义了以下三个组范围:
- Universal
- Global
- 域本地
Note
除了这三个范围,内置容器中的默认组还具有内置本地组范围。 不能更改此组范围和组类型。
下表描述了这三个组范围以及它们如何以安全组的形式工作:
| Scope | 可能的成员 | 范围转换 | 可以授予权限 | 可能的成员 |
|---|---|---|---|---|
| Universal | 来自同一林中任何域的帐户 同一林中任何域中的全局组 同一林中任何域中的其他通用组 |
如果组不是任何其他通用组的成员,则可以转换为域本地范围 如果组不包含任何其他通用组,则可以转换为全局范围 |
在同一林或信任林中的任何域中 | 同一林中的其他通用组 同一森林或信任的森林中的域本地组 同一域森林或信任域森林中的计算机上的本地组 |
| Global | 同一域中的帐户 同一域中的其他全局组 |
如果组不是任何其他全局组的成员,则可以转换为通用范围 | 在同一林结构中的任一域中,或信任的域或林结构 | 来自同一森林中任何域的通用组 同一域中的其他全局组 域本地组可以来自同一林中的任何域或任何信任域 |
| 域本地 | 来自任何域或任何受信任域的帐户 来自任何域或任何受信任域的全局组 来自同一林中任何域的通用组 同一域中的其他域本地组 来自其他林域和外部域的帐户、全局组和通用组 |
如果组不包含任何其他域本地组,则可以转换为通用范围 | 在同一域中 | 同一域中的其他域本地组 同一域中计算机上的本地组,不包括具有已知安全标识符的内置组(SID) |
特殊标识组
特殊标识组是某些特殊标识组合在一起的位置。 特殊标识组没有可以修改的特定成员身份,但它们可以在不同的时间表示不同的用户,具体取决于情况。 这些组包括 Creator Owner、Batch 和 Authenticated User。
有关详细信息,请参阅特殊标识组。
默认安全组
默认组(如域管理员组)是创建 Active Directory 域时自动创建的安全组。 这些预定义组可帮助你控制对共享资源的访问,并委托特定的域范围管理角色。
许多默认组会自动分配一组用户权限。 这些权限授权组的成员在域中执行特定作,例如登录到本地系统或备份文件和文件夹。 例如,备份操作员组的成员可以在域中为所有域控制器执行备份操作。
将用户添加到组时,该用户将收到分配给该组的所有用户权限,包括分配给该组的任何共享资源的所有权限。
默认组位于 Builtin 容器或 Active Directory 用户和计算机工具中的“用户”容器中。 “Builtin”容器包括使用域本地范围定义的组。 “Users”容器中包含通过“全局”范围定义的组和通过“本地域”范围定义的组。 可以将位于这些容器中的组移动到域中的其他组或组织单位。 但无法将其移动到其他域。
本文中列出的某些管理组以及这些组的所有成员都受到后台进程的保护,该进程定期检查并应用特定的安全描述符。 此描述符是包含与受保护对象相关的安全信息的数据结构。 此过程可确保在某个管理帐户或组上修改安全描述符的任何成功的未授权尝试都将被受保护的设置覆盖。
此安全描述符存在于 AdminSDHolder 对象上。 如果要修改其中一个服务管理员组或其任何成员帐户的权限,则必须修改 AdminSDHolder 对象上的安全描述符,以确保应用一致。 进行这些修改时要小心,因为你还会更改应用于所有受保护管理帐户的默认设置。
每个默认安全组都有一个包含多个组件的唯一标识符。 在这些组件中,有一个在组域内唯一的相对 ID(RID)。
默认 Active Directory 安全组
以下链接可说明位于 Builtin 容器中的默认组或 Active Directory 中的用户容器。
- 访问控制协助作员
- 帐户操作员
- Administrators
- 允许的 RODC 密码复制
- 备份运算符
- 证书服务 DCOM 访问
- 证书发布者
- 可克隆的域控制器
- 加密运算符
- 拒绝的 RODC 密码复制
- 设备所有者
- DHCP 管理员
- DHCP 用户
- 分布式 COM 用户
- DnsUpdateProxy
- DnsAdmins
- 域管理员
- 域计算机
- 域控制器
- 域来宾
- 域用户
- 企业管理员
- 企业密钥管理员
- 企业只读域控制器
- 事件日志读取者
- 组策略创建者所有者组
- Guests
- Hyper-V 管理员
- IIS_IUSRS
- 传入林信任生成器
- 密钥管理员
- 网络配置作员
- 性能日志用户
- 性能监视器用户
- 兼容于Windows 2000之前的访问
- 打印运算符
- 受保护的用户
- RAS 和 IAS 服务器
- RDS 终结点服务器
- RDS 管理服务器
- RDS 远程访问服务器
- 只读域控制器
- 远程桌面用户
- 远程管理用户
- Replicator
- 架构管理员
- 服务器操作员
- 存储副本管理员
- 系统托管帐户
- 终端服务器许可证服务器
- Users
- Windows 授权访问
- WinRMRemoteWMIUsers__
访问控制协助操作人员
此组的成员可以远程查询计算机上资源的授权属性和权限。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-579 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
帐户操作员
“Account Operators”组向用户授予有限的帐户创建权限。 此组的成员可以创建和修改大多数类型的帐户,包括用户帐户、本地组和全局组。 组成员可以在本地登录到域控制器。
帐户操作员组的成员无法修改用户权限。 此外,此组的成员无法管理以下帐户和组:
- 管理员用户帐户
- 管理员的用户帐户
- Administrators
- 服务器操作员
- 帐户操作员
- 备份运算符
- 打印运算符
无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-548 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 允许本地登录:SeInteractiveLogonRight |
Administrators
“Administrators”组的成员对计算机具有完全且不受限制的访问权限。 如果将计算机提升为域控制器,则“Administrators”组的成员可以不受限制地访问域。
Note
“Administrators”组具有内置功能,使其成员能够完全控制系统。 无法重命名、删除或移除此组。 此内置组控制对其域中所有域控制器的访问,并且可以更改所有管理组的成员身份。 以下组的成员可以修改“Administrators”组成员身份:默认服务管理员、域中的域管理员和企业管理员。 此组具有获取目录中任何对象或域控制器上任何资源的所有权的特殊权限。 此组被视为服务管理员组,因为它的成员对域中的域控制器具有完全访问权限。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-544 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 管理员、 域管理员、 企业管理员 |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
调整进程的内存配额:SeIncreaseQuotaPrivilege 通过网络访问此计算机:SeNetworkLogonRight 允许本地登录:SeInteractiveLogonRight 允许通过远程桌面服务登录:SeRemoteInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 跳过遍历检查:SeChangeNotifyPrivilege 更改系统时间:SeSystemTimePrivilege 更改时区:SeTimeZonePrivilege 创建页面文件:SeCreatePagefilePrivilege 创建全局对象:SeCreateGlobalPrivilege 创建符号链接:SeCreateSymbolicLinkPrivilege 调试程序:SeDebugPrivilege 信任计算机和用户帐户可以执行委派:SeEnableDelegationPrivilege 从远程系统强制关机:SeRemoteShutdownPrivilege 身份验证后模拟客户端:SeImpersonatePrivilege 提高计划优先级:SeIncreaseBasePriorityPrivilege 加载和卸载设备驱动程序:SeLoadDriverPrivilege 以批处理作业身份登录:SeBatchLogonRight 管理审计和安全日志特权:SeSecurityPrivilege 修改固件环境值:SeSystemEnvironmentPrivilege 执行卷维护任务:SeManageVolumePrivilege 配置文件系统性能: SeSystemProfilePrivilege 配置文件单个进程:SeProfileSingleProcessPrivilege 从扩展坞中移除计算机:SeUndockPrivilege 还原文件和目录:SeRestorePrivilege 关闭系统:SeShutdownPrivilege 获得文件或其他对象的所有权:SeTakeOwnershipPrivilege |
允许的 RODC 密码复制
此安全组的目的是管理只读域控制器 (RODC) 密码复制策略。 默认情况下,此组没有成员。 因此,新的 RODC 不会缓存用户凭据。 Denied RODC Password Replication 组包含各种高特权帐户和安全组。 “Denied RODC Password Replication”组取代“Allowed RODC Password Replication”组。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-571<> |
| 类型 | 本地域 |
| 默认容器 | CN=Users DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 是的,尤其是在委托给使用精细密码策略的自定义组时 |
| 默认用户权限 | None |
备份操作员
“Backup Operators”组的成员可以备份和还原计算机上的所有文件,而不管保护这些文件的权限如何。 备份操作员还可以登录并关闭计算机。 无法重命名、删除或移除此组。 默认情况下,此内置组没有成员,它可以在域控制器上执行备份和还原操作。 以下组的成员可以修改备份操作员组成员身份:默认服务管理员、域中的域管理员和企业管理员。 “Backup Operators”组的成员不能修改任何管理组的成员身份。 尽管此组的成员无法更改服务器设置或修改目录的配置,但它们确实具有替换域控制器上的文件(包括 OS 文件)所需的权限。 由于此组的成员可以替换域控制器上的文件,因此它们被视为服务管理员。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-551 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
允许本地登录:SeInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 以批处理作业身份登录:SeBatchLogonRight 还原文件和目录:SeRestorePrivilege 关闭系统:SeShutdownPrivilege |
证书服务 DCOM 访问
此组的成员可以连接到企业中的证书颁发机构。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-domain-574<> |
| 类型 | 域本地 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | None |
证书发布者
证书发布者组的成员有权在 Active Directory 中发布用户对象的证书。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-517<> |
| 类型 | 域本地 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | 拒绝的 RODC 密码复制 |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
可克隆域控制器
属于可克隆域控制器组并且是域控制器的成员可以被克隆。 在 Windows Server 2012 R2 和 Windows Server 2012 中,可以通过复制现有的虚拟域控制器来部署域控制器。 在虚拟环境中,不能重复部署使用 Sysprep.exe 该工具准备的服务器映像。 不允许将服务器提升到域控制器,然后完成部署每个域控制器(包括将虚拟域控制器添加到此安全组)的更多配置要求。 无法重命名、删除或移除此组。
有关更多信息,请参阅《安全虚拟化 Active Directory 域服务 (AD DS)》。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-522<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
加密运算符
已授权此组的成员执行加密操作。 此安全组在通用条件模式下为 IPsec 配置 Windows 防火墙。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-569 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
拒绝的 RODC 密码复制
“Denied RODC Password Replication”组成员的密码不能复制到任何 RODC。
此安全组的目的是管理 RODC 密码复制策略。 此组包含各种高特权帐户和安全组。 “Denied RODC Password Replication”组取代 Allowed RODC Password Replication 组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-572<> |
| 类型 | 本地域 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 证书发布者 |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | 是的,尤其是在委托给使用精细密码策略的自定义组时 |
| 默认用户权限 | None |
设备所有者
如果“Device Owners”组没有成员,建议不要更改此安全组的默认配置。 更改默认配置可能会阻碍依赖于此组的未来方案。 设备所有者组当前未在 Windows 中使用。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-583 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 是,但不建议 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
允许本地登录:SeInteractiveLogonRight 通过网络访问此计算机:SeNetworkLogonRight 跳过遍历检查:SeChangeNotifyPrivilege 更改时区:SeTimeZonePrivilege |
DHCP 管理员
DHCP 管理员组的成员可以创建、删除和管理服务器作用域的各个区域。 组权限包括备份和还原动态主机配置协议 (DHCP) 数据库的功能。 即使此组具有管理权限,它也不属于“Administrators”组,因为此角色仅限于 DHCP 服务。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain<> |
| 类型 | 域本地 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | Users |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 是,但不建议 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
DHCP 用户
DHCP 用户组的成员可以查看哪些作用域处于活动状态或非活动,包括分配了哪些 IP 地址。 如果未正确配置 DHCP 服务器,组成员还可以查看连接问题。 此组仅限于对 DHCP 服务器的只读访问。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain<> |
| 类型 | 域本地 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | Users |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 是,但不建议 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
分布式 COM 用户
分布式 COM 用户组的成员可以在计算机上启动、激活和使用分布式组件对象模型 (DCOM) 对象。 Microsoft 组件对象模型 (COM) 是一类独立于平台且面向对象的分布式系统,用于创建可交互的二进制软件组件。 使用 DCOM 对象时,可以将应用程序分布到对你和应用程序最有意义的位置。 此组显示为 SID,直到域控制器成为主域控制器,并承担操作主角色,该角色也称为 灵活单主操作(FSMO) 角色。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-562 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | None |
DnsUpdateProxy
DnsUpdateProxy 组的成员是域名系统 (DNS) 客户端。 允许它们代表其他客户端(例如 DHCP 服务器)执行动态更新。 当 DHCP 服务器配置为使用动态更新代表 DHCP 客户端动态注册主机 (A) 和指针 (PTR) 资源记录时,DNS 服务器可以开发过时的资源记录。 将客户端添加到此安全组可缓解这种情况。
若要防止不安全的记录或允许 DnsUpdateProxy 组的成员在仅允许安全动态更新的区域中注册记录,必须创建专用用户帐户。 还必须将 DHCP 服务器配置为使用此帐户的用户名、密码和域执行 DNS 动态更新。 多个 DHCP 服务器可以使用一个专用用户帐户的凭据。 仅当 DNS 服务器角色已安装或曾经安装在域中的域控制器上时,此组才存在。
有关详细信息,请参阅 DNS 记录所有权和 DnsUpdateProxy 组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-<variable RID> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | None |
DnsAdmins
DnsAdmins 组的成员有权访问网络 DNS 信息。 默认情况下,为此组的成员分配以下允许权限:读取、写入、创建所有子对象、删除子对象和特殊权限。 仅当 DNS 服务器角色已安装或曾经安装在域中的域控制器上时,此组才存在。
有关安全性和 DNS 的详细信息,请参阅 Windows Server 2012 中的 DNSSEC。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-<域>-<变量RID> |
| 类型 | Builtin Local |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
域管理员
“Domain Admins”安全组的成员有权管理域。 默认情况下,域管理员组是加入域的所有计算机上的管理员组的成员,包括域控制器。 域管理员组是组的任何成员在 Active Directory 中为域创建的任何对象的默认所有者。 如果组的成员创建其他对象(如文件),则默认所有者是“Administrators”组。
“Domain Admins”组控制对域中所有域控制器的访问,并且可以修改域中所有管理帐户的成员身份。 其域中的服务管理员组的成员(管理员和域管理员)和“Enterprise Admins”组的成员可以修改“Domain Admins”成员身份。 此组被视为服务管理员帐户,因为它的成员对域中的域控制器具有完全访问权限。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-512<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 管理员 |
| 默认成员 | Administrators |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 请参阅 管理员 |
域计算机
此组可以包括加入域的所有计算机和服务器,不包括域控制器。 默认情况下,创建的任何计算机帐户都会自动成为此组的成员。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-515<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 加入域的所有计算机(不包括域控制器) |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 是,但不需要 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
域控制器
“Domain Controllers”组可以包括域中的所有域控制器。 新的域控制器会自动添加到此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-516<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 域的所有域控制器的计算机帐户 |
| 默认成员 | 拒绝的 RODC 密码复制 |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
域来宾
域来宾组包括域的内置来宾帐户。 当此组的成员在加入域的计算机上以本地来宾身份登录时,将在本地计算机上创建域配置文件。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-514<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | Guest |
| 默认成员 | Guests |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 是,但不建议 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 查看 来宾 |
域用户
“Domain Users”组包括域中的所有用户帐户。 在域中创建用户帐户时,默认情况下会将其添加到此组。
可以使用此组来表示域中的所有用户。 例如,如果希望所有域用户都有权访问打印机,可以将打印机的权限分配给此组。 或者,可以将域用户组添加到具有打印机权限的打印服务器上的本地组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-513<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 管理员 |
| 默认成员 | Users |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 查看 用户 |
企业管理员
企业管理员组仅存在于域的 Active Directory 林的根域中。 如果域处于纯模式,则该组是通用组。 如果域处于混合模式,则该组是全局组。 此组的成员有权在 Active Directory 中进行林范围的更改,例如添加子域。
默认情况下,组的唯一成员是林根域的 Administrator 帐户。 此组会自动添加到林中每个域中的 Administrators 组中,并提供配置所有域控制器的完全访问权限。 此组中的成员可以修改所有管理组的成员身份。 根域中默认服务管理员组的成员可以修改企业管理员成员身份。 此组被视为服务管理员帐户。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-root< 域>-519 |
| 类型 | 如果域处于纯模式,则为通用;否则为全局 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 管理员 |
| 默认成员 | Administrators |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 请参阅 管理员 |
企业密钥管理员
此组的成员可以对林中的关键对象执行管理操作。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-527<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
企业只读域控制器
此组的成员是企业中的 RODC。 除帐户密码之外,RODC 保存了可写域控制器所保留的所有 Active Directory 对象和属性。 但是,不能对存储在 RODC 上的数据库进行更改。 更改必须在可写域控制器上进行,然后复制到 RODC。
RODC 解决了分支机构中的一些常见问题。 这些位置可能没有域控制器,或者它们可能具有可写域控制器,但是不具备支持它的物理安全性、网络带宽或本地专业知识。
有关详细信息,请参阅 什么是 RODC?。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-root< 域>-498 |
| 类型 | Universal |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | N/A |
| 默认用户权限 | None |
事件日志读取者
此组的成员可以从本地计算机中读取事件日志。 当服务器升级为域控制器时,将创建该组。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-573 |
| 类型 | 域本地 |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
组策略创建者所有者
此组有权在域中创建、编辑和删除组策略对象。 默认情况下,组的唯一成员是 Administrator。
有关可用于此安全组的其他功能的信息,请参阅组策略概述。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-520<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 管理员 |
| 默认成员 | 拒绝的 RODC 密码复制 |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
Guests
默认情况下,来宾和用户组的成员具有类似的访问权限。 区别在于来宾帐户具有进一步的限制。 默认情况下,来宾组的唯一成员是来宾帐户。 来宾组使偶尔或一次性用户能够使用计算机内置来宾帐户的有限权限登录。
当 Guests 组的成员注销时,将删除整个配置文件。 个人资料删除包括目录中 %userprofile% 存储的所有内容,包括用户注册表用户配置单元信息、自定义桌面图标和其他用户设置。 这意味着来宾必须使用临时配置文件才能登录到系统。 此安全组与以下组策略设置交互: 不要使用临时配置文件登录用户。 若要访问此设置,请打开组策略管理编辑器,然后转到 计算机配置>管理模板>系统>用户配置文件。
Note
Guest 帐户是 Guests 安全组的默认成员。 在域中没有实际帐户的人员可以使用 Guest 帐户。 如果已禁用某用户的帐户(但尚未删除),则该用户还可以使用 Guest 帐户。 来宾帐户不需要密码。 可以像任何用户帐户一样设置 Guest 帐户的权限。 默认情况下,Guest 帐户是内置“Guests”组和“Domain Guests”全局组的成员,使用户可以登录到域。 默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。
无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-546 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 域来宾 |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
Hyper-V 管理员
“Hyper-V Administrators”组的成员拥有对 Hyper-V 所有功能的完整且不受限制的访问权。 向此组添加成员有助于减少 Administrators 组中所需的成员数,并进一步分离访问权限。 无法重命名、删除或移除此组。
Note
在 Windows Server 2012 之前,管理员组成员身份受到控制并有权访问 Hyper-V 功能。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-578 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Hyper-V 管理员服务不应在域控制器上使用。 组应为空。 |
| 默认用户权限 | None |
IIS_IUSRS
IIS_IUSRS是 Internet Information Services (IIS)使用的内置组,从 IIS 7 开始。 OS 可确保每个内置帐户和组都具有唯一的 SID。 IIS 7 将 IUSR_MachineName 帐户和 IIS_WPG 组替换为 IIS_IUSRS 组,以确保新帐户和组使用的实际名称永远不会本地化。 例如,无论安装 Windows OS 的语言如何,IIS 帐户名称都是 IUSR,组名称IIS_IUSRS。
有关详细信息,请参阅了解 IIS 7 中的内置用户和组帐户。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-568 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | IUSR |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
传入林信任生成器
"Incoming Forest Trust Builders" 组的成员可以创建到森林的传入单向信任。 Active Directory 通过域和林信任关系跨多个域或林提供安全性。 在跨信任进行身份验证之前,Windows 必须确定请求的域是否由与请求帐户的登录域建立信任关系的用户、计算机或服务。
为做出此确认,Windows 安全系统将计算接收请求的服务器的域控制器和请求帐户的域中的域控制器之间的信任路径。 安全通道通过域间信任关系扩展到其他 Active Directory 域。 此安全通道用于获取和验证安全信息,包括用户和组的 SID。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
有关详细信息,请参阅域和林信任的工作原理。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-557 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
密钥管理员
此组的成员可以对域中的关键对象执行管理操作。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-526<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
网络配置运营商
网络配置操作员组的成员具有以下管理权限来管理网络功能的配置:
- 修改局域网(LAN)连接的传输控制协议/Internet 协议(TCP/IP)属性,其中包括 IP 地址、子网掩码、默认网关和名称服务器
- 重命名可供所有用户使用的 LAN 连接或远程访问连接
- 启用或禁用 LAN 连接
- 修改用户的所有远程访问连接的属性
- 删除用户的所有远程访问连接
- 重命名用户的所有远程访问连接
- 发布
ipconfig命令、ipconfig /release命令和ipconfig /renew命令 - 输入支持 SIM 卡的移动宽带设备的 PIN 解锁码(PUK)
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-556 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
性能日志用户
“Performance Log Users”组的成员可以在服务器上本地管理性能计数器、日志和警报,也可以从远程客户端进行管理,而无需成为 Administrators 组的成员。 具体而言,此安全组的成员:
- 可以使用为 Performance Monitor Users 组提供的所有功能。
- 不能在数据收集器集中使用 Windows 内核跟踪事件提供程序。
Note
在 Windows Server 2016 及更高版本中,“Performance Log Users”组的成员无法创建数据收集器集。 如果“Performance Log Users”组的成员尝试创建数据收集器集,则他们无法完成该操作,因为访问被拒绝。
要使“Performance Log Users”组的成员能够初始化数据记录,或修改数据收集器集,必须首先为该组分配作为批处理作业登录用户权限。 若要分配此用户权限,请使用 Microsoft 管理控制台 (MMC) 中的本地安全策略管理单元。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移动此帐户。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-559 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | 以批处理作业身份登录:SeBatchLogonRight |
性能监视器用户
此组的成员可以从本地和远程客户端监视域中域控制器上的性能计数器,而无需成为“Administrators”或“Performance Log Users”组的成员。 Windows 性能监视器是 MMC 的一个管理单元,它提供了一些用于分析系统性能的工具。 仅从一个单独的控制台,即可监视应用程序和硬件性能,自定义要在日志中收集的数据,定义警报和自动操作的阈值,生成报告以及以各种方式查看过去的性能数据。
具体而言,此安全组的成员:
- 可以使用为 Users 组提供的所有功能。
- 可以在性能监视器中查看实时性能数据。
- 可以在查看数据时更改性能监视器显示属性。
- 无法创建或修改数据收集器集。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-558 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
预 Windows 2000 兼容访问
“Pre–Windows 2000 Compatible Access”组的成员对域中的所有用户和组都具有读取访问权限。 提供此组是为了向后兼容运行 Windows NT 4.0 及更早版本的计算机。 默认情况下,特殊标识组“Everyone”是此组的成员。 仅当用户运行 Windows NT 4.0 或更早版本时,才将用户添加到此组。
Warning
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。
无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-554 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
通过网络访问此计算机:SeNetworkLogonRight 跳过遍历检查:SeChangeNotifyPrivilege |
打印操作员
此组的成员可以管理、创建、共享和删除连接到域中域控制器的打印机。 它们还可以管理域中的 Active Directory 打印机对象。 此组的成员可以在本地登录到并关闭域中的域控制器。
此组中没有默认的成员。 由于此组的成员可以在域中的所有域控制器上加载和卸载设备驱动程序,因此请谨慎添加用户。 无法重命名、删除或移除此组。
有关详细信息,请参阅在 Windows Server 2012 中分配委派的打印管理员和打印机权限设置。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-550 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
允许本地登录:SeInteractiveLogonRight 加载和卸载设备驱动程序:SeLoadDriverPrivilege 关闭系统:SeShutdownPrivilege |
受保护的用户
“Protected Users”组的成员具有额外的保护,可防止在身份验证过程中泄露凭据。
此安全组设计为战略的一部分,以有效地保护和管理企业中的凭据。 此组的成员会自动对其帐户应用不可配置的保护。 在默认情况下,受保护的用户组中的成员身份意味着受到限制并主动保护。 修改帐户保护的唯一方法是从安全组中删除该帐户。
从 Windows Server 2012 R2 和 Windows 8.1 开始,此域相关的全局组在设备和主机计算机上触发不可配置的保护。 它还会在具有运行 Windows Server 2012 R2 或更高版本的主域控制器的域中的域控制器上触发不可配置的保护。 当用户从未受损害的计算机登录到网络上的计算机时,这种保护会大大减少凭据的内存占用。
根据帐户的域功能级别,受保护的用户组的成员会进一步受到保护,因为 Windows 支持的身份验证方法的行为更改:
- 受保护的用户组的成员无法使用以下安全支持提供程序(SSP):新技术 LAN 管理器(NTLM)、摘要式身份验证或凭据安全支持提供程序(CredSSP)进行身份验证。 密码不会缓存在运行 Windows 10 或 Windows 8.1 的设备上。 当帐户是受保护用户组的成员时,设备无法向域进行身份验证。
- Kerberos 协议在预身份验证过程中不使用较弱的数据加密标准(DES)或 Rivest 密码 4 (RC4) 加密类型。 域必须配置为至少支持高级加密标准(AES)密码套件。
- 不能使用 Kerberos 约束或不受约束的委派来委派用户的帐户。 如果用户是“Protected Users”组的成员,则之前对其他系统的连接可能会失败。
- 可以使用 Active Directory 管理中心中的身份验证策略和孤岛更改默认 Kerberos 票证授予票证 (TGT) 生存期设置 4 小时。 在默认设置中,用户必须在经过四个小时后进行身份验证。
该组是在 Windows Server 2012 R2 中引入的。 有关该组工作原理的详细信息,请参阅 Protected Users 安全组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-525<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
RAS 和 IAS 服务器
作为“RAS and IAS Servers”组成员的计算机在正确配置后可以使用远程访问服务。 默认情况下,该组没有任何成员。 自动将运行路由和远程访问服务(RRAS)和远程访问服务(例如 Internet 身份验证服务(IAS)和网络策略服务器的计算机添加到组中。 此组的成员有权访问用户对象的某些属性,例如“读取帐户限制”、“读取登录信息”和“读取远程访问信息”。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-553<> |
| 类型 | Builtin Local |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
RDS 终结点服务器
RDS 终结点服务器组的成员服务器可以运行虚拟机,并托管会话,其中运行用户的远程应用功能和个人虚拟桌面程序。 必须在运行远程桌面连接代理(RD 连接代理)的服务器上填充此组。 部署中使用的会话主机服务器和远程桌面虚拟化主机(RD 虚拟化主机)服务器必须在此组中。 无法重命名、删除或移除此组。
有关远程桌面服务 (RDS) 的信息,请参阅 Windows Server 中的远程桌面服务概述。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-576 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 不应在域控制器上使用 RDS 终结点服务器服务。 组应为空。 |
| 默认用户权限 | None |
RDS 管理服务器
通过 RDS 管理服务器组中的成员服务器,您可以在运行 RDS 的服务器上执行常规管理操作。 必须在 RDS 部署中的所有服务器上填充此组。 运行 RDS Central Management 服务的服务器必须包含在此组中。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-577 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 不应在域控制器上使用 RDS 管理服务器服务。 组应为空。 |
| 默认用户权限 | None |
RDS 远程访问服务器
RDS 远程访问服务器组中的服务器为用户提供了对 RemoteApp 功能程序和个人虚拟桌面的访问权限。 在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。 必须在运行 RD 连接代理的服务器上填充此组。 部署中使用的远程桌面网关(RD 网关)服务器和远程桌面 Web 访问(RD Web 访问)服务器必须在此组中。 无法重命名、删除或移除此组。
有关详细信息,请参阅 Windows Server 中的远程桌面服务概述。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-575 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | 不应在域控制器上使用 RDS 远程访问服务器服务。 组应为空。 |
| 默认用户权限 | None |
只读域控制器
此组由域中的 RODC 组成。 RODC 使组织能够在无法保证物理安全性的情况下轻松部署域控制器。 例如,分支办公室的位置或所有域密码的本地存储被视为主要威胁,例如在 Extranet 或面向应用程序的角色中。
由于可以将 RODC 的管理委托给域用户或安全组,因此 RODC 非常适合不应有属于域管理员组成员的用户的网站。 RODC 具有以下功能:
- 只读 AD DS 数据库
- 单向复制
- 凭据缓存
- 管理员角色分隔
- 只读 DNS
有关详细信息,请参阅 了解只读域控制器的规划和部署。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-521<> |
| 类型 | Global |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | 拒绝的 RODC 密码复制 |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | N/A |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
远程桌面用户
可以使用远程桌面会话主机(RD 会话主机)服务器上的远程桌面用户组授予用户和组远程连接到 RD 会话主机服务器的权限。 无法重命名、删除或移除此组。 此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-555 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
远程管理用户
远程管理用户组的成员可以通过 Windows 远程管理服务(WS-Management)等管理协议访问 Windows Management Instrumentation (WMI) 资源。 对 WMI 资源的访问权限仅适用于向用户授予访问权限的 WMI 命名空间。
用户可以使用“远程管理用户”组通过服务器管理器控制台管理服务器。 使用 WinRMRemoteWMIUsers__ 组允许用户远程运行 Windows PowerShell 命令。
无法重命名、删除或移除此组。
有关详细信息,请参阅 “关于 WMI ”和 MI 中的新增功能?。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-580 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | None |
Replicator
属于 Replicator 组成员的计算机支持在域中复制文件。 Windows Server 使用文件复制服务 (FRS) 复制存储在系统卷文件夹(sysvol 文件夹)中的系统策略和登录脚本。 每个域控制器都会保留 sysvol 文件夹的副本,供网络客户端访问。 FRS 还可以为分布式文件系统(DFS)复制数据,并按照 DFS 的定义同步每个副本集成员的内容。 FRS 可以同时复制和维护多个服务器上的共享文件和文件夹。 发生更改时,内容将立即在网站内同步,并按计划在网站之间同步。
Warning
在 Windows Server 2008 R2 中,不能使用 FRS 复制 DFS 文件夹或自定义(非 sysvol)数据。 Windows Server 2008 R2 域控制器在使用 FRS 的域中,仍可使用 FRS 在域控制器之间复制 sysvol 文件夹共享资源的内容。 但是,Windows Server 2008 R2 服务器不能使用 FRS 复制除 sysvol 文件夹共享资源之外的任何副本集的内容。 DFS 复制服务是 FRS 的替代项。 可以使用 DFS 复制来复制 sysvol 文件夹共享资源、DFS 文件夹和其他自定义(非 sysvol)数据的内容。 应将所有非 sysvol FRS 副本集迁移到 DFS 复制。
有关详细信息,请参阅以下资源:
无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-552 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
架构管理员
架构管理员组的成员可以修改 Active Directory 架构。 此组仅存在于域的 Active Directory 林的根域中。 如果域处于纯模式,则该组是通用组。 如果域处于混合模式,则该组是全局组。
默认情况下,组的唯一成员是林根域的 Administrator 帐户。 该组对架构具有完全管理访问权限。
根域中的任何服务管理员组都可以修改此组的成员身份。 此组被视为服务管理员帐户,因为它的成员可以修改架构,该架构控制整个目录的结构和内容。
有关详细信息,请参阅什么是 Active Directory 架构?
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-root< 域>-518 |
| 类型 | 如果域处于纯模式,则为通用;否则为全局 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | 管理员 |
| 默认成员 | 拒绝的 RODC 密码复制 |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | 请参阅 Denied RODC Password Replication |
服务器操作员
“Server Operators”组的成员可以管理域控制器。 该组仅存在于域控制器上。 默认情况下,此组没有成员,无法重命名、删除或移除。 服务器操作员组的成员可以执行以下操作:
- 以交互方式登录服务器
- 创建和删除网络共享资源
- 启动和停止服务
- 备份和还原文件
- 格式化设备的硬盘驱动器
- 关闭设备
默认情况下,此内置组没有成员。 此组有权访问域控制器上的服务器配置选项。 其成员身份由域中的服务管理员组 Administrators 和 Domain Admins 以及林根域中的 Enterprise Admins 组控制。 此组中的成员无法更改任何管理组成员身份。 此组被视为服务管理员帐户,因为其成员具有对域控制器的物理访问权限。 此组的成员可以执行备份和还原等维护任务,并且可以更改域控制器上安装的二进制文件。 有关组的默认用户权限,请参阅下表。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-549 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | Yes |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 |
允许本地登录:SeInteractiveLogonRight 备份文件和目录:SeBackupPrivilege 更改系统时间:SeSystemTimePrivilege 更改时区:SeTimeZonePrivilege 从远程系统强制关机:SeRemoteShutdownPrivilege 还原文件和目录:还原文件和目录 SeRestorePrivilege 关闭系统:SeShutdownPrivilege |
存储副本管理员
存储副本管理员组的成员对存储副本工具的所有功能具有完整和不受限制的访问权限。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-582 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
系统托管帐户
系统托管帐户组的成员身份是系统管理的。 此组包括有助于系统功能的默认系统托管帐户(DSMA)。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-581 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | Users |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
终端服务器许可证服务器
终端服务器许可证服务器组的成员可以使用有关许可证颁发的信息更新 Active Directory 中的用户帐户。 该组用于跟踪和报告终端服务器每用户客户端访问许可证(TS Per User CAL)使用情况。 TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器实例的权限。 此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
有关此安全组的详细信息,请参阅 Terminal Services License Server 安全组配置。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-561 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | None |
| 默认成员 | None |
| 移出默认容器是否安全? | 无法移动 |
| 受 AdminSDHolder 保护吗? | No |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
用户
“Users”组的成员被阻止进行意外的或有意的系统级更改。 此组的成员可以运行大多数应用程序。 在 OS 的初始安装之后,唯一的成员是“经过身份验证的用户组”。 当计算机加入域时,“Domain Users”组将添加到计算机上的“Users”组。
用户可以执行运行应用程序、使用本地和网络打印机、关闭计算机和锁定计算机等任务。 如果应用程序的安装程序支持每用户安装,则用户可以安装只有他们才能使用的应用程序。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-545 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 经过身份验证的用户 |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | No |
| 默认用户权限 | None |
Windows 授权访问
此组的成员有权访问 tokenGroupsGlobalAndUniversal 用户对象上的属性。 此访问很有用,因为某些应用程序功能读取 token-groups-global-and-universal 用户帐户对象或 AD DS 中的计算机帐户对象上的 (TGGAU) 属性。 某些 Win32 函数可以更轻松地读取 TGGAU 属性。 但是,如果调用的安全上下文无权访问此属性,那么读取此属性的 API 或与之相关的应用程序就会失败。 通过此组,可以更轻松地授予对属性的读取访问权限。
此组显示为 SID,直到域控制器成为主域控制器并拥有操作主机 (FSMO) 角色。 无法重命名、删除或移除此组。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-32-560 |
| 类型 | Builtin Local |
| 默认容器 | CN=Builtin,DC=<domain>, DC= |
| 默认成员 | 企业域控制器 |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | 无法移动 |
| 将此组的管理委派给非服务管理员是否安全? | Yes |
| 默认用户权限 | None |
WinRMRemoteWMIUsers__
从 Windows Server 2012 和 Windows 8 开始,高级安全设置用户界面包含“ 共享 ”选项卡。此选项卡显示远程文件共享的安全属性。 若要查看此信息,必须具有以下权限和成员身份:
- 你必须是“WinRMRemoteWMIUsers__”组或“BUILTIN\Administrators”组的成员。
- 必须对文件共享具有读取权限。
在 Windows Server 2012 中,“拒绝访问协助”功能会将“Authenticated Users”组添加到本地“WinRMRemoteWMIUsers__”组。 启用“拒绝访问协助”功能后,所有对文件共享具有读取权限的经过身份验证的用户都可以查看文件共享权限。
Note
WinRMRemoteWMIUsers__组允许成员远程运行 Windows PowerShell 命令。 相反,通常使用远程管理用户组来允许用户使用服务器管理器控制台管理服务器。
| Attribute | Value |
|---|---|
| 已知 SID/RID | S-1-5-21-<域>-<变量RID> |
| 类型 | 本地域 |
| 默认容器 | CN=Users,DC=<domain,DC>= |
| 默认成员 | None |
| 默认成员 | None |
| 受 AdminSDHolder 保护吗? | No |
| 移出默认容器是否安全? | Yes |
| 将此组的管理委派给非服务管理员是否安全? | |
| 默认用户权限 | None |