Groupes d’identité spéciale

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Découvrez les groupes d’identité spéciale Windows Server (parfois appelés groupes de sécurité) utilisés pour le contrôle d’accès Windows.

Qu’est-ce qu’un groupe d’identité spéciale ?

Les groupes d’identité spéciale sont similaires aux groupes de sécurité Active Directory listés dans les conteneurs Utilisateurs Active Directory et BuiltIn. Les groupes d’identité spéciale peuvent constituer un moyen efficace d’autoriser l’accès aux ressources de votre réseau. En utilisant des groupes d’identité spéciale, vous pouvez :

  • Attribuer des droits d’utilisateur à des groupes de sécurité dans Active Directory.

  • Attribuer des autorisations à des groupes de sécurité pour accéder aux ressources.

Comment fonctionnent les groupes d’identité spéciale dans Windows Server

Si un serveur exécute l’une des versions du système d’exploitation Windows Server indiquée dans la section S’applique à au début de cet article, le serveur a plusieurs groupes d’identité spéciale. Les groupes d’identité spéciale n’ont pas d’appartenances spécifiques que vous pouvez modifier, mais ils peuvent représenter différents utilisateurs à différents moments en fonction des circonstances.

Même si vous pouvez attribuer des droits et des autorisations sur des ressources spécifiques à un groupe d’identité spéciale, vous ne pouvez pas voir ou modifier l’appartenance d’un groupe d’identité spéciale. Les étendues de groupe ne s’appliquent pas aux groupes d’identité spéciale. Les utilisateurs sont automatiquement attribués à des groupes d’identité spéciale quand ils se connectent ou accèdent à une ressource spécifique.

Pour plus d’informations sur les groupes de sécurité et les étendues de groupe Active Directory, consultez Groupes de sécurité Active Directory.

Groupes d’identité spéciale par défaut

Les groupes d’identité spéciale par défaut dans Windows Server sont décrits dans la liste suivante :

Ouverture de session anonyme

Tout utilisateur qui accède au système avec une ouverture de session anonyme a l’identité Ouverture de session anonyme. Cette identité donne un accès anonyme aux ressources, par exemple, à une page web publiée sur un serveur d’entreprise. Le groupe Ouverture de session anonyme n’est pas membre du groupe Tout le monde par défaut.

Attribut Valeur
SID/RID connu S-1-5-7
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Propriété de clé attestée

Identificateur de sécurité (SID) qui signifie que l’objet d’approbation de clé a la propriété attestation.

Attribut Valeur
SID/RID connu S-1-18-6
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Utilisateurs authentifiés

Tout utilisateur qui accède au système avec un processus de connexion a l’identité Utilisateurs authentifiés. Cette identité donne accès aux ressources partagées au sein du domaine, comme les fichiers d’un dossier partagé qui doivent être accessibles à tous les travailleurs de l’organisation. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-11
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight

Ajouter des stations de travail au domaine : SeMachineAccountPrivilege

Ignorer la vérification transversale : SeChangeNotifyPrivilege

Identité déclarée par l’autorité d’authentification

SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à partir de la preuve de possession des informations d’identification du client.

Attribut Valeur
SID/RID connu S-1-18-1
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Batch

Tout utilisateur ou processus qui accède au système sous forme de traitement par lots ou par la file d’attente de lots a l’identité Traitement par lots. Cette identité autorise les traitements par lots à exécuter des tâches planifiées, comme un travail de nettoyage nocturne qui supprime les fichiers temporaires. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-3
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut aucun

Ouverture de session console

Groupe qui comprend les utilisateurs connectés à la console physique. Ce SID peut être utilisé pour implémenter des stratégies de sécurité qui accordent des droits différents selon que l’utilisateur a ou non obtenu un accès physique à la console.

Attribut Valeur
SID/RID connu S-1-2-1
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Creator Group (GROUPE CREATEUR)

La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire.

Un SID d’espace réservé est créé dans une entrée de contrôle d’accès (ACE) pouvant être héritée. Quand l’ACE est héritée, le système remplace ce SID par celui du groupe principal du propriétaire actuel de l’objet. Le groupe principal est utilisé uniquement par le sous-système POSIX.

Attribut Valeur
SID/RID connu S-1-3-1
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut aucun

Creator Owner (Créateur propriétaire)

La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire. Un SID d’espace réservé est créé dans une ACE pouvant être héritée. Quand l’ACE est héritée, le système remplace ce SID par celui du propriétaire actuel de l’objet.

Attribut Valeur
SID/RID connu S-1-3-0
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut aucun

Dialup (LIGNE)

Tout utilisateur qui accède au système avec une connexion d’accès à distance a l’identité Accès à distance. Cette identité distingue les utilisateurs d’accès à distance des autres types d’utilisateurs authentifiés.

Attribut Valeur
SID/RID connu S-1-5-1
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut aucun

Authentification Digest

Attribut Valeur
SID/RID connu S-1-5-64-21
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut aucun

Contrôleurs de domaine d’entreprise

Ce groupe comprend tous les contrôleurs de domaine d’une forêt Active Directory. Les contrôleurs de domaine avec des rôles et des responsabilités à l’échelle de l’entreprise ont l’identité Contrôleurs de domaine d’entreprise. Cette identité permet aux contrôleurs de domaine d’effectuer certaines tâches dans l’entreprise en utilisant les approbations transitives. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-9
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight

Autoriser l’ouverture de session localement : SeInteractiveLogonRight

Contrôleurs de domaine d’entreprise en lecture seule

Ce groupe comprend tous les contrôleurs de domaine d’une forêt Active Directory. Les contrôleurs de domaine avec des rôles et des responsabilités à l’échelle de l’entreprise ont l’identité Contrôleurs de domaine d’entreprise. À l’exception des mots de passe de compte, un contrôleur de domaine en lecture seule (RODC) contient tous les objets et attributs Active Directory d’un contrôleur de domaine accessible en écriture. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-21-<RootDomain>
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Tout le monde

Tous les utilisateurs interactifs, réseau, avec accès à distance et authentifiés sont membres du groupe Tout le monde. Ce groupe d’identité spéciale donne un accès large aux ressources système. Chaque fois qu’un utilisateur se connecte au réseau, il est ajouté automatiquement au groupe Tout le monde. L’appartenance est contrôlée par le système d’exploitation.

Sur les ordinateurs qui exécutent Windows 2000 et versions antérieures, le groupe Tout le monde est un membre par défaut. À compter de Windows Server 2003, le groupe Tout le monde contient uniquement Utilisateurs authentifiés et Invités. Le groupe ne comprend plus Ouverture de session anonyme par défaut. Pour changer le paramètre de groupe Tout le monde pour y ajouter le groupe Ouverture de session anonyme, dans l’Éditeur du Registre, accédez à la clé Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa et définissez la valeur du DWORD everyoneincludesanonymous sur 1.

Attribut Valeur
SID/RID connu S-1-1-0
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight

Ignorer la vérification transversale : SeChangeNotifyPrivilege

Nouvelle identité de clé publique

SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à partir de la preuve de possession des informations d’identification de clé publique du client.

Attribut Valeur
SID/RID connu S-1-18-3
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Interactive

Tout utilisateur connecté au système local a l’identité Interactif. Cette identité permet uniquement aux utilisateurs locaux d’accéder à une ressource. Chaque fois qu’un utilisateur accède à une ressource donnée sur l’ordinateur auquel il est connecté, il est ajouté automatiquement au groupe Interactif. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-4
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

IUSR

Internet Information Services (IIS) utilise ce compte par défaut quand l’authentification anonyme est activée.

Attribut Valeur
SID/RID connu S-1-5-17
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Approbation de clé

SID qui signifie que l’identité du client est basée sur la preuve de possession des informations d’identification de clé publique en utilisant l’objet d’approbation de clé.

Attribut Valeur
SID/RID connu S-1-18-4
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Service local

Le compte Service local est similaire au compte Utilisateur authentifié. Les membres du compte Service local ont le même niveau d’accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus donnés vient à être compromis. Les services qui s’exécutent sous le compte Service local accèdent aux ressources réseau dans une session null avec des informations d’identification anonymes. Le nom du compte est NT AUTHORITY\LocalService. Ce compte n’a pas de mot de passe.

Attribut Valeur
SID/RID connu S-1-5-19
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Ajuster les quotas de mémoire d’un processus : SeIncreaseQuotaPrivilege

Ignorer la vérification transversale : SeChangeNotifyPrivilege

Changer l’heure système : SeSystemtimePrivilege

Changer le fuseau horaire : SeTimeZonePrivilege

Créer des objets globaux : SeCreateGlobalPrivilege

Générer des audits de sécurité : SeAuditPrivilege

Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege

Remplacer un jeton de niveau processus : SeAssignPrimaryTokenPrivilege

LocalSystem

Le compte LocalSystem est un compte de service utilisé par le système d’exploitation. Le compte LocalSystem est un compte puissant qui a un accès complet au système et représente l’ordinateur sur le réseau. Si un service se connecte au compte LocalSystem sur un contrôleur de domaine, ce service a accès à l’ensemble du domaine. Certains services sont configurés par défaut pour se connecter au compte LocalSystem. Ne changez pas le paramètre de service par défaut. Le nom du compte est LocalSystem. Ce compte n’a pas de mot de passe.

Attribut Valeur
SID/RID connu S-1-5-18
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Propriété de clé MFA

SID qui signifie que l’objet d’approbation de clé a la propriété d’authentification multifacteur (MFA).

Attribut Valeur
SID/RID connu S-1-18-5
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Réseau

Ce groupe comprend implicitement tous les utilisateurs connectés avec une connexion réseau. Tout utilisateur qui accède au système sur un réseau a l’identité Réseau. Cette identité permet uniquement aux utilisateurs distants d’accéder à une ressource. Chaque fois qu’un utilisateur accède à une ressource sur le réseau, il est ajouté automatiquement au groupe Réseau. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-2
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Service réseau

Le compte Service réseau est similaire au compte Utilisateur authentifié. Les membres du compte Service réseau ont le même niveau d’accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus donnés vient à être compromis. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur. Le nom du compte est NT AUTHORITY\NetworkService. Ce compte n’a pas de mot de passe.

Attribut Valeur
SID/RID connu S-1-5-20
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Ajuster les quotas de mémoire d’un processus : SeIncreaseQuotaPrivilege

Ignorer la vérification transversale : SeChangeNotifyPrivilege

Créer des objets globaux : SeCreateGlobalPrivilege

Générer des audits de sécurité : SeAuditPrivilege

Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege

Remplacer un jeton de niveau processus : SeAssignPrimaryTokenPrivilege

Authentification NTLM

Attribut Valeur
SID/RID connu S-1-5-64-10
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Autre organisation

Ce groupe comprend implicitement tous les utilisateurs connectés au système avec une connexion d’accès à distance. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-1000
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Droits de propriétaire

Le groupe Droits de propriétaire représente le propriétaire actuel de l’objet. Quand une ACE qui porte ce SID est appliquée à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC du propriétaire de l’objet.

Attribut Valeur
SID/RID connu S-1-3-4
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Principal lui-même

Cette identité est un espace réservé dans une ACE pour un utilisateur, un groupe ou un objet ordinateur dans Active Directory. Quand vous accordez des autorisations à Principal lui-même, vous les accordez au principal de sécurité représenté par l’objet. Pendant une vérification d’accès, le système d’exploitation remplace le SID de Principal lui-même par le SID du principal de sécurité représenté par l’objet.

Attribut Valeur
SID/RID connu S-1-5-10
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Proxy

Identifie un proxy SECURITY_NT_AUTHORITY.

Attribut Valeur
SID/RID connu S-1-5-8
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Contrôleur de domaine en lecture seule

Ce groupe comprend tous les contrôleurs de domaine en lecture seule de la forêt qui ont des droits en lecture seule sur la base de données Active Directory. Il permet le déploiement de contrôleurs de domaine quand la sécurité physique est faible ou non garantie. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-21-<domain>
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Notes

Le groupe Réplication de mot de passe RODC refusée est créé automatiquement quand un compte RODC est créé dans la forêt. Les mots de passe ne peuvent pas être répliqués dans le groupe Réplication de mot de passe RODC refusée.

Ouverture de session interactive à distance

Cette identité représente tous les utilisateurs actuellement connectés à un ordinateur avec une connexion de protocole RDP (Remote Desktop Protocol). Ce groupe est un sous-ensemble du groupe Interactif. Les jetons d’accès qui contiennent le SID Ouverture de session interactive à distance contiennent également le SID Interactif.

Attribut Valeur
SID/RID connu S-1-5-14
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Limitées

Les utilisateurs et les ordinateurs avec des fonctionnalités restreintes ont l’identité Restreint. Ce groupe d’identité est utilisé par un processus qui s’exécute dans un contexte de sécurité restreint, comme l’exécution d’une application avec le service RunAs. Quand le code s’exécute au niveau de sécurité Restreint, le SID Restreint est ajouté au jeton d’accès de l’utilisateur.

Attribut Valeur
SID/RID connu S-1-5-12
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Authentification SChannel

Attribut Valeur
SID/RID connu S-1-5-64-14
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Aucun

Service

Tout service qui accède au système a l’identité Service. Ce groupe d’identité comprend tous les principaux de sécurité qui sont connectés en tant que service. Cette identité accorde l’accès aux processus exécutés par les services Windows Server. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-6
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Créer des objets globaux : SeCreateGlobalPrivilege

Emprunter l’identité d’un client après l’authentification : SeImpersonatePrivilege

Identité déclarée par le service

SID qui signifie que l’identité du client est déclarée par un service.

Attribut Valeur
SID/RID connu S-1-18-2
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Utilisateur Terminal Server

Tout utilisateur qui accède au système avec des services Terminal Server a l’identité Utilisateur Terminal Server. Cette identité permet aux utilisateurs d’accéder aux applications Terminal Server et d’effectuer d’autres tâches nécessaires avec les services Terminal Server. L’appartenance est contrôlée par le système d’exploitation.

Attribut Valeur
SID/RID connu S-1-5-13
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

This Organization (Cette organisation)

Attribut Valeur
SID/RID connu S-1-5-15
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut None

Gestionnaire de fenêtres\Groupe Gestionnaire de fenêtres

Attribut Valeur
SID/RID connu S-1-5-90
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Droits d’utilisateur par défaut Ignorer la vérification transversale : SeChangeNotifyPrivilege

Augmenter une plage de travail de processus : SeIncreaseWorkingSetPrivilege

Voir aussi