Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Erfahren Sie mehr über spezielle Windows Server-Identitätsgruppen (die auch als Sicherheitsgruppen bezeichnet werden) für die Zugriffssteuerung unter Windows.
Was ist eine spezielle Identitätsgruppe?
Spezielle Identitätsgruppen ähneln den Active Directory-Sicherheitsgruppen in den Containern „Active Directory-Benutzer“ und „BuiltIn“. Spezielle Identitätsgruppen stellen eine effektive Möglichkeit zum Zuweisen des Zugriffs auf Ressourcen in Ihrem Netzwerk dar. Spezielle Identitätsgruppen ermöglichen Ihnen Folgendes:
Zuweisen von Benutzerrechten zu Sicherheitsgruppen in Active Directory
Zuweisen von Berechtigungen zu Sicherheitsgruppen für den Zugriff auf Ressourcen
Funktionsweise spezieller Identitätsgruppen unter Windows Server
Wenn auf einem Server eine der in Gilt für am Anfang dieses Artikels aufgeführten Versionen des Windows Server-Betriebssystems ausgeführt wird, verfügt der Server über mehrere spezielle Identitätsgruppen. Diese speziellen Identitätsgruppen verfügen nicht über bestimmte Mitgliedschaften, die Sie ändern können, aber sie können unterschiedliche Benutzer zu unterschiedlichen Zeiten darstellen, je nach den Umständen.
Sie können einer speziellen Identitätsgruppe zwar Rechte und Berechtigungen für bestimmte Ressourcen zuweisen, aber Sie können die Mitglieder einer speziellen Identitätsgruppe nicht anzeigen oder ändern. Gruppenbereiche gelten nicht für spezielle Identitätsgruppen. Benutzer werden speziellen Identitätsgruppen automatisch zugewiesen, wenn sie sich anmelden oder auf eine bestimmte Ressource zugreifen.
Informationen zu Active Directory-Sicherheitsgruppen und Gruppenbereichen finden Sie unter Active Directory-Sicherheitsgruppen.
Standardmäßige spezielle Identitätsgruppen
In den folgenden Abschnitten werden die standardmäßigen speziellen Identitätsgruppen in Windows Server beschrieben.
- Anonyme Anmeldung
- Beglaubigte Schlüssel-Eigenschaft
- Authentifizierte Benutzer
- Authentifizierung von autorisierten Identitäten
- Batch
- Konsolenanmeldung
- Creator-Gruppe
- Creator Eigentümer
- Dialup
- Digest-Authentifizierung
- Unternehmensdomänencontroller
- Unternehmen Schreibgeschützte Domänencontroller
- Everyone
- Neue öffentliche Identität für Schlüssel
- Interaktiv
- IUSR
- Schlüsselvertrauen
- Lokaler Dienst
- LocalSystem
- MFA-Schlüssel-Eigenschaft
- Netzwerk
- Netzwerkdienst
- NTLM-Authentifizierung
- andere Organisation
- „Eigentümerrechte“
- Prinzipal Selbst
- Proxy
- Schreibgeschützt Domänencontroller
- Remote-interaktive Anmeldung
- Restricted
- SChannel-Authentifizierung
- Dienstleistung
- Dienst hat Identität bestätigt
- Terminal Server Benutzer
- Diese Organisation
- Fenster-Manager\Fenster-Manager-Gruppe
Anonymous-Anmeldung
Jeder Benutzer, der über eine anonyme Anmeldung auf das System zugreift, hat die Identität „Anonyme Anmeldung“. Diese Identität ermöglicht den anonymen Zugriff auf Ressourcen, z. B. auf eine auf einem Unternehmensserver veröffentlichte Webseite. Die Gruppe „Anonyme Anmeldung“ ist standardmäßig kein Mitglied der Gruppe „Jeder“.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-7 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Eigenschaft „Nachgewiesener Schlüssel“
Ein Sicherheitsbezeichner (Security Identifier, SID), der bedeutet, dass das Schlüsselvertrauensobjekt die Nachweiseigenschaft hatte.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-6 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Authentifizierte Benutzer
Jeder Benutzer, der über einen Anmeldeprozess auf das System zugreift, hat die Identität „Authentifizierte Benutzer“. Diese Identität ermöglicht den Zugriff auf freigegebene Ressourcen innerhalb der Domäne, z. B. Dateien in einem freigegebenen Ordner, auf die für alle Mitarbeiter in der Organisation zugegriffen werden soll. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-11 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Auf diesen Computer über das Netzwerk zugreifen,: SeNetworkLogonRight Arbeitsstationen zur Domäne hinzufügen: SeMachineAccountPrivilege Umgehen der Traversierungsprüfung: SeChangeNotifyPrivilege |
Von der Authentifizierungsstelle bestätigte Identität
Eine SID, die bedeutet, dass die Identität des Clients von einer Authentifizierungsstelle auf Grundlage des Nachweises des Besitzes von Anmeldeinformationen des Clients bestätigt wurde.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Batch (Stapel)
Jeder Benutzer oder Prozess, der als Batchauftrag oder über die Batchwarteschlange auf das System zugreift, hat die Identität „Batch“. Diese Identität ermöglicht Batchaufträgen die Ausführung geplanter Aufgaben, wie z. B. einen nächtlichen Bereinigungsauftrag zum Löschen temporärer Dateien. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-3 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Konsolenanmeldung
Eine Gruppe mit Benutzern, die bei der physischen Konsole angemeldet sind. Diese SID dient der Implementierung von Sicherheitsrichtlinien, die unterschiedliche Rechte gewähren, je nachdem, ob einem Benutzer physischer Zugriff auf die Konsole gewährt wird.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-2-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Creator Group (ERSTELLERGRUPPE)
Die Person, die eine Datei oder ein Verzeichnis erstellt hat, ist Mitglied dieser speziellen Identitätsgruppe. Das Betriebssystem Windows Server nutzt diese Identität, um dem Ersteller einer Datei oder eines Verzeichnisses automatisch Zugriffsberechtigungen zu erteilen.
Eine Platzhalter-SID wird in einem vererbbaren Zugriffssteuerungseintrag (ACE) erstellt. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID der primären Gruppe des aktuellen Besitzers des Objekts. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-3-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Creator Owner (Ersteller-Besitzer)
Die Person, die eine Datei oder ein Verzeichnis erstellt hat, ist Mitglied dieser speziellen Identitätsgruppe. Das Betriebssystem Windows Server nutzt diese Identität, um dem Ersteller einer Datei oder eines Verzeichnisses automatisch Zugriffsberechtigungen zu erteilen. Eine Platzhalter-SID wird in einem vererbbaren ACE erstellt. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID des aktuellen Objektbesitzers.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-3-0 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Dialup (DIALUP)
Jeder Benutzer, der über eine DFÜ-Verbindung auf das System zugreift, hat die Identität „DFÜ“. Diese Identität unterscheidet DFÜ-Benutzer von anderen Typen authentifizierter Benutzer.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Digestauthentifizierung
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-21 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Domänencontroller des Unternehmens
Diese Gruppe umfasst alle Domänencontroller in einer Active Directory-Gesamtstruktur. Domänencontroller mit unternehmensweiten Rollen und Zuständigkeiten haben die Identität „Unternehmensdomänencontroller“. Mit dieser Identität können Domänencontroller bestimmte Aufgaben mithilfe transitiver Vertrauensstellungen im Unternehmen ausführen. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-9 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Auf diesen Computer über das Netzwerk zugreifen,: SeNetworkLogonRight Lokale Anmeldung zulassen: SeInteractiveLogonRight |
Schreibgeschützte Enterprise-Domänencontroller
diese Gruppe umfasst alle schreibgeschützten Domänencontroller (RODC) in einer Active Directory-Gesamtstruktur. Ein Unternehmens-RODC kann eine größere Teilmenge der Active Directory-Datenbank replizieren, einschließlich des globalen Katalogs und der schreibgeschützten Domänenpartitionen für alle Domänen in der Gesamtstruktur. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<RootDomäne>-498 |
| Objektklasse | Gruppe |
| Standardspeicherort in Active Directory | CN=Users, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Jeder
Alle interaktiven, Netzwerk-, DFÜ- und authentifizierten Benutzer sind Mitglieder der Gruppe „Jeder“. Diese spezielle Identitätsgruppe bietet umfassenden Zugriff auf Systemressourcen. Wenn sich ein Benutzer beim Netzwerk anmeldet, wird er automatisch der Gruppe „Jeder“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
Auf Computern unter Windows 2000 und früheren Versionen enthält die Gruppe "Jeder" die Gruppe "Anonyme Anmeldung" als Standardmitglied. Ab Windows Server 2003 enthält die Gruppe „Jeder“ nur authentifizierte und Gastbenutzer. Die Gruppe enthält „Anonymous-Anmeldung“ standardmäßig nicht mehr. Um die Gruppeneinstellung "Jeder" so zu ändern, dass sie die Gruppe "Anonyme Anmeldung" enthält, wechseln Sie im Registrierungs-Editor zum Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Schlüssel, und legen Sie den Wert der "everyoneincludesanonymous DWORD " auf 1 fest.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-1-0 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Auf diesen Computer über das Netzwerk zugreifen,: SeNetworkLogonRight Umgehen der Traversierungsprüfung: SeChangeNotifyPrivilege |
Neue Identität für öffentlichen Schlüssel
Eine SID, die bedeutet, dass die Identität des Clients von einer Authentifizierungsstelle auf Grundlage des Nachweises des aktuellen Besitzes von Anmeldeinformationen in Form des öffentlichen Schlüssels des Clients bestätigt wurde.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-3 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Interaktiv
Jeder Benutzer, der beim lokalen System angemeldet ist, hat die Identität „Interaktiv“. Diese Identität ermöglicht ausschließlich lokalen Benutzern den Zugriff auf eine Ressource. Wenn ein Benutzer auf eine bestimmte Ressource auf dem Computer zugreift, bei dem er aktuell angemeldet ist, wird er automatisch der Gruppe „Interaktiv“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
IUSR
IIS (Internetinformationsdienste) verwendet dieses Konto standardmäßig, wenn die anonyme Authentifizierung aktiviert ist.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-17 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Schlüsselbasiertes Vertrauen
Eine SID, die bedeutet, dass die Identität des Clients auf dem Nachweis des Besitzes von Anmeldeinformationen für öffentliche Schlüssel unter Verwendung des Objekts „Schlüsselbasiertes Vertrauen“ basiert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Lokaler Dienst
Das Konto „Lokaler Dienst“ ähnelt dem Konto „Authentifizierter Benutzer“. Mitglieder des Kontos „Lokaler Dienst“ haben die gleiche Ebene des Zugriffs auf Ressourcen und Objekte wie Mitglieder der Gruppe „Benutzer“. Durch diesen eingeschränkten Zugriff kann das System geschützt werden, falls einzelne Dienste oder Vorgänge gefährdet sind. Bei Diensten, die unter dem Konto „Lokaler Dienst“ ausgeführt werden, erfolgt der Zugriff auf Netzwerkressourcen als NULL-Sitzung mit anonymen Anmeldeinformationen. Der Name des Kontos lautet NT AUTHORITY\LocalService. Dieses Konto hat kein Kennwort.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-19 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Speicherquoten für einen Prozess anpassen: SeIncreaseQuotaPrivilege Umgehen der Traversierungsprüfung: SeChangeNotifyPrivilege Ändern der Systemzeit: SeSystemZeitPrivilege Zeitzone ändern: SeZeitZonePrivilege Globale Objekte erstellen: SeCreateGlobalPrivilege Sicherheitsüberprüfungen generieren: SeAuditPrivilege Client nach Authentifizierung imitieren: SeImpersonatePrivilege Prozess-Token ersetzen: SeAssignPrimaryTokenPrivilege |
LocalSystem
Das Konto LocalSystem ist ein vom Betriebssystem verwendetes Dienstkonto. Das Konto LocalSystem ist ein leistungsstarkes Konto mit Vollzugriff auf das System und agiert als der Computer im Netzwerk. Wenn sich ein Dienst auf einem Domänencontroller beim Konto LocalSystem anmeldet, hat dieser Dienst Zugriff auf die gesamte Domäne. Einige Dienste sind standardmäßig so konfiguriert, dass sie sich beim Konto LocalSystem anmelden. Ändern Sie die Standarddiensteinstellung nicht. Der Name des Kontos ist LocalSystem. Dieses Konto hat kein Kennwort.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-18 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
MFA-Schlüsseleigenschaft
Eine SID, die bedeutet, dass das Objekt „Schlüsselbasiertes Vertrauen“ über die MFA-Eigenschaft (Multi-Factor Authentication) verfügt.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-5 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Netzwerk
Diese Gruppe enthält implizit alle Benutzer, die über eine Netzwerkverbindung angemeldet sind. Benutzer, die über ein Netzwerk auf das System zugreifen, haben die Identität „Netzwerk“. Diese Identität ermöglicht ausschließlich Remotebenutzern den Zugriff auf eine Ressource. Wenn ein Benutzer über das Netzwerk auf eine bestimmte Ressource zugreift, wird der Benutzer automatisch zur Gruppe „Netzwerk“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-2 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Netzwerkdienst
Das Konto „Netzwerkdienst“ ähnelt dem Konto „Authentifizierter Benutzer“. Mitglieder des Kontos „Netzwerkdienst“ haben die gleiche Ebene des Zugriffs auf Ressourcen und Objekte wie Mitglieder der Gruppe „Benutzer“. Durch diesen eingeschränkten Zugriff kann das System geschützt werden, falls einzelne Dienste oder Vorgänge gefährdet sind. Dienste, die unter dem Konto Netzwerkdienste ausgeführt werden, können mithilfe der Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen. Der Name des Kontos lautet „NT-AUTORITÄT\NETZWERKDIENST“. Dieses Konto hat kein Kennwort.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-20 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Speicherquoten für einen Prozess anpassen: SeIncreaseQuotaPrivilege Umgehen der Traversierungsprüfung: SeChangeNotifyPrivilege Globale Objekte erstellen: SeCreateGlobalPrivilege Sicherheitsüberprüfungen generieren: SeAuditPrivilege Client nach Authentifizierung imitieren: SeImpersonatePrivilege Prozess-Token ersetzen: SeAssignPrimaryTokenPrivilege |
NTLM-Authentifizierung
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-10 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Andere Organisation
Diese Gruppe schließt implizit alle Benutzer ein, die über eine DFÜ-Verbindung beim System angemeldet sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-1000 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Besitzerrechte
Die Gruppe „Besitzerrechte“ stellt den aktuellen Besitzer des Objekts dar. Wenn ein ACE, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten Berechtigungen READ_CONTROL und WRITE_DAC für den Objektbesitzer.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-3-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Prinzipal selbst
Diese Identität ist ein Platzhalter in einem ACE für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie „Prinzipal selbst“ Berechtigungen erteilen, erteilen Sie Berechtigungen dem Sicherheitsprinzipal, der vom Objekt repräsentiert wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für „Prinzipal selbst“ durch die SID für den Sicherheitsprinzipal, der vom Objekt repräsentiert wird.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-10 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Stellvertreter
Identifiziert einen SECURITY_NT_AUTHORITY-Proxy.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-8 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Read-only-Domänencontroller
diese Gruppe umfasst alle RODCs in der Domäne mit Nur-Lese-Rechten auf die Active Directory-Datenbank. Mit Ausnahme von Kontopasswörtern verfügt ein RODC über alle Active Directory-Objekte und -Attribute, die auch ein beschreibbarer Domänencontroller besitzt. Sie ermöglicht die Bereitstellung von Domänencontrollern, wenn die physische Sicherheit nicht ausreichend oder nicht gewährleistet ist. RODCs sind explizite Mitglieder dieser Gruppe.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-521 |
| Objektklasse | Gruppe |
| Standardspeicherort in Active Directory | CN=Users, DC=<rootDomain> |
| Standardbenutzerrechte | Keine |
Hinweis
Die Abgelehnte RODC-Kennwortreplikationsgruppe wird automatisch erstellt, wenn ein RODC-Konto in der Gesamtstruktur erstellt wird. Kennwörter können nicht in „Abgelehnte RODC-Kennwortreplikationsgruppe“ repliziert werden.
Interaktive Remoteanmeldung
Diese Identität repräsentiert alle Benutzer, die derzeit über eine RDP-Verbindung (Remotedesktopprotokoll) bei einem Computer angemeldet sind. Diese Gruppe ist eine Teilmenge der Gruppe „Interaktiv“. Zugriffstoken, die die SID der interaktiven Remoteanmeldung enthalten, enthalten auch die interaktive SID.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-14 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Eingeschränkt
Benutzer und Computer mit eingeschränkten Funktionen haben die Identität „Eingeschränkt“. Diese Identitätsgruppe wird von einem Prozess verwendet, der in einem eingeschränkten Sicherheitskontext ausgeführt wird, z. B. wenn Sie eine Anwendung mit dem RunAs-Dienst ausführen. Wenn Code auf der Sicherheitsebene „Eingeschränkt“ ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-12 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
SChannel-Authentifizierung
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-14 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Dienst
Jeder Dienst, der auf das System zugreift, hat die Identität „Dienst“. Diese Identitätsgruppe umfasst alle Sicherheitsprinzipale, die als Dienst angemeldet sind. Diese Identität gewährt Zugriff auf Prozesse, die von Windows Server-Diensten ausgeführt werden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-6 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Globale Objekte erstellen: SeCreateGlobalPrivilege Client nach Authentifizierung imitieren: SeImpersonatePrivilege |
Vom Dienst bestätigte ID
Eine SID, die bedeutet, dass die Identität des Clients von einem Dienst bestätigt wurde.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-18-2 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Terminalserverbenutzer
Jeder Benutzer, der über Terminaldienste auf das System zugreift, hat die Identität „Terminalserverbenutzer“. Mit dieser Identität können Benutzer auf Terminalserveranwendungen zugreifen und andere erforderliche Aufgaben mit Terminalserverdiensten ausführen. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-13 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
This Organization (Diese Organisation)
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-15 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Fenster-Manager\Fenster-Manager-Gruppe
| Attribut | value |
|---|---|
| Gut bekannte SID/RID | S-1-5-90 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte |
Umgehen der Traversierungsprüfung: SeChangeNotifyPrivilege Erhöhen Sie den Arbeitsspeicher eines Prozesses: SeIncreaseWorkingSetPrivilege |