Группы безопасности Active Directory

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Сведения о группах безопасности Active Directory по умолчанию, области группы и функциях групп.

Что такое группа безопасности в Active Directory?

Active Directory имеет две формы общих субъектов безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют собой физическую сущность, которая является пользователем или компьютером. Учетную запись пользователя также можно использовать в качестве выделенной учетной записи службы для некоторых приложений.

Группы безопасности — это способ сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.

В операционной системе Windows Server несколько встроенных учетных записей и групп безопасности предварительно настроены с соответствующими правами и разрешениями для выполнения определенных задач. В Active Directory административные обязанности разделены на два типа администраторов:

  • Администраторы служб: отвечает за обслуживание и доставку доменные службы Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

  • Администраторы данных: отвечает за обслуживание данных, хранящихся в AD DS и на серверах-членах домена и рабочих станциях.

Как работают группы безопасности Active Directory

Используйте группы для сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами вместо отдельных пользователей помогает упростить обслуживание сети и администрирование.

Active Directory имеет два типа групп:

  • Группы безопасности: используйте для назначения разрешений общим ресурсам.

  • Группы рассылки: используются для создания списков рассылки электронной почты.

Группы безопасности

Группы безопасности могут предоставлять эффективный способ назначения доступа к ресурсам в сети. С помощью групп безопасности можно выполнять следующие действия.

  • Назначение прав пользователей группам безопасности в Active Directory.

    Назначьте права пользователя группе безопасности, чтобы определить, какие члены этой группы могут выполнять в пределах домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль пользователя в домене.

    Например, пользователь, добавляемый в группу операторов резервного копирования в Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Пользователь может выполнить эти действия, так как по умолчанию файлы и каталоги резервного копирования прав пользователя, а также файлы восстановления и каталоги автоматически назначаются группе операторов резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.

    Вы можете использовать групповая политика для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповая политика см. в разделе "Назначение прав пользователя".

  • Назначение разрешений группам безопасности для ресурсов.

    Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровню доступа, например полный доступ или чтение. Некоторые разрешения, заданные для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа "Операторы учетных записей" или группа "Администраторы домена".

    Группы безопасности перечислены в списках списков контроль доступа уровня "Дискреционные" (DACL), которые определяют разрешения на ресурсы и объекты. Когда администраторы назначают разрешения для таких ресурсов, как общие папки или принтеры, они должны назначать эти разрешения группе безопасности вместо отдельных пользователей. Разрешения назначаются группе один раз, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. Пользователь получает разрешения, определенные для этой группы.

Группу безопасности можно использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в группу безопасности отправляет сообщение всем участникам группы.

Группы рассылки

Группы рассылки можно использовать только для отправки электронной почты коллекциям пользователей с помощью почтового приложения, например Exchange Server. Группы рассылки не поддерживают безопасность, поэтому их нельзя включить в списки приложений уровня данных.

Область действия группы

Каждая группа имеет область, определяющую степень применения группы в дереве домена или лесу. Область группы определяет, где можно предоставить разрешения сети для группы. Active Directory определяет следующие три области группы:

  • Универсальное

  • Глобальный

  • Локальный домен

Примечание

В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия группы Builtin Local. Эту область группы и тип группы нельзя изменить.

В следующей таблице описаны три области группы и их работа в качестве групп безопасности.

Область Возможные члены Преобразование области Может предоставлять разрешения Возможный член
Универсальное Учетные записи из любого домена в одном лесу

Глобальные группы из любого домена в одном лесу

Другие универсальные группы из любого домена в том же лесу

Может быть преобразован в область "Локальный домен", если группа не является членом какой-либо другой универсальной группы

Можно преобразовать в глобальную область, если группа не содержит другую универсальную группу

В любом домене в одном лесу или в доверенных лесах Другие универсальные группы в том же лесу

Локальные группы домена в одном лесу или в доверенных лесах

Локальные группы на компьютерах в одном лесу или в доверенных лесах

Глобальный Учетные записи из одного домена

Другие глобальные группы из того же домена

Может быть преобразован в универсальную область, если группа не является членом любой другой глобальной группы В любом домене в одном лесу или доверяющих доменах или лесах Универсальные группы из любого домена в одном лесу

Другие глобальные группы из того же домена

Локальные группы домена из любого домена в одном лесу или из любого доверенного домена

Локальный домен Учетные записи из любого домена или любого доверенного домена

Глобальные группы из любого домена или любого доверенного домена

Универсальные группы из любого домена в одном лесу

Другие локальные группы домена из того же домена

Учетные записи, глобальные группы и универсальные группы из других лесов и из внешних доменов

Можно преобразовать в универсальную область, если группа не содержит другую локальную группу домена В том же домене Другие локальные группы домена из того же домена

Локальные группы на компьютерах в одном домене, за исключением встроенных групп, имеющих известные идентификаторы безопасности (SID)

Специальные группы удостоверений

Специальные удостоверения называются группами. Специальные группы удостоверений не имеют определенных членства, которые можно изменить, но они могут представлять разных пользователей в зависимости от обстоятельств. К некоторым из этих групп относятся владелец создателя, пакетная служба и пользователь, прошедший проверку подлинности.

Дополнительные сведения см. в разделе "Специальные группы удостоверений".

Группы безопасности по умолчанию

Группы по умолчанию, такие как группа "Администраторы домена", — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и делегированию определенных административных ролей на уровне домена.

Многие группы по умолчанию автоматически назначают набор прав пользователя, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы операторов резервного копирования может выполнять операции резервного копирования для всех контроллеров домена в домене.

При добавлении пользователя в группу пользователь получает все права пользователя, назначенные группе, включая все разрешения, назначенные группе для всех общих ресурсов.

Группы по умолчанию находятся в встроенном контейнере и в контейнере Users в Пользователи и компьютеры Active Directory. Встроенный контейнер включает группы, определенные с помощью области "Локальный домен". Контейнер "Пользователи" включает группы, определенные с глобальной областью и группами, определенными в области "Локальный домен". Группы, расположенные в этих контейнерах, можно переместить в другие группы или подразделения в домене, но их нельзя переместить в другие домены.

Некоторые административные группы, перечисленные в этой статье, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп перезаписывается защищенными параметрами.

Дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов служб или любой из ее учетных записей-членов, необходимо изменить дескриптор безопасности для объекта AdminSDHolder таким образом, чтобы он применялся согласованно. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию

В следующем списке приведены описания групп по умолчанию, расположенных в контейнерах Builtin и Users в Active Directory:

операторы помощи контроль доступа

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа операторов помощи контроль доступа применяется к операционной системе Windows Server, указанной в таблице групп безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-579
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Операторы учета

Группа "Операторы учетных записей" предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи для пользователей, локальных групп и глобальных групп. Участники группы могут выполнять локальный вход в контроллеры домена.

Члены группы операторов учетных записей не могут управлять учетной записью администратора, учетными записями администраторов или администраторами, операторами сервера, операторами учетных записей, операторами резервного копирования или группами операторов печати . Члены этой группы не могут изменять права пользователя.

Группа "Операторы учетных записей" применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию .

Примечание

По умолчанию у этой встроенной группы нет членов. Группа может создавать пользователей и группы в домене и управлять ими, включая собственное членство и группу операторов сервера. Эта группа считается группой администраторов служб, так как она может изменять операторы сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для делегированного администрирования. Эту группу нельзя переименовать, удалить или удалить.

attribute Значение
Известный SID/RID S-1-5-32-548
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Администраторы

Члены группы администраторов имеют полный и неограниченный доступ к компьютеру. Если компьютер повышен до контроллера домена, члены группы администраторов имеют неограниченный доступ к домену.

Группа "Администраторы" применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию .

Примечание

Группа "Администраторы" имеет встроенные возможности, которые предоставляют своим членам полный контроль над системой. Эту группу нельзя переименовать, удалить или удалить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменить членство во всех административных группах. Члены следующих групп могут изменять членство в группах "Администраторы": администраторы служб по умолчанию, администраторы домена в домене и администраторы предприятия. Эта группа имеет особые права на владение любым объектом в каталоге или любом ресурсе на контроллере домена. Эта учетная запись считается группой администраторов служб, так как ее члены имеют полный доступ к контроллерам домена в домене.

Эта группа безопасности включает следующие изменения с Windows Server 2008:

attribute Значение
Известный SID/RID S-1-5-32-544
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Администратор, администраторы домена, администраторы предприятия
Является членом по умолчанию. Нет
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Настройка квот памяти для процесса: SeIncreaseQuotaPrivilege

Доступ к этому компьютеру из сети: SeNetworkLogonRight

Разрешить локальный вход: SeInteractiveLogonRight

Разрешить вход через службы удаленных рабочих столов: SeRemoteInteractiveLogonRight

Резервное копирование файлов и каталогов: SeBackupPrivilege

Обход проверки обхода: SeChangeNotifyPrivilege

Изменение системного времени: SeSystemTimePrivilege

Изменение часового пояса: SeTimeZonePrivilege

Создание файла подкачки: SeCreatePagefilePrivilege

Создание глобальных объектов: SeCreateGlobalPrivilege

Создание символьных ссылок: SeCreateSymbolicLinkPrivilege

Отладка программ: SeDebugPrivilege

Включение доверия учетных записей компьютеров и пользователей для делегирования: SeEnableDelegationPrivilege

Принудительное завершение работы из удаленной системы: SeRemoteShutdownPrivilege

Олицетворения клиента после проверки подлинности: SeImpersonatePrivilege

Увеличение приоритета планирования: SeIncreaseBasePriorityPrivilege

Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege

Вход в качестве пакетного задания: SeBatchLogonRight

Управление журналом аудита и безопасности: SeSecurityPrivilege

Изменение значений среды встроенного ПО: SeSystemEnvironmentPrivilege

Выполнение задач обслуживания томов: SeManageVolumePrivilege

Производительность системы профиля: SeSystemProfilePrivilege

Один процесс профиля: SeProfileSingleProcessPrivilege

Удаление компьютера из станции закрепления: SeUndockPrivilege

Восстановление файлов и каталогов: SeRestorePrivilege

Завершение работы системы: SeShutdownPrivilege

Владение файлами или другими объектами: SeTakeOwnershipPrivilege

Разрешенная репликация паролей RODC

Эта группа безопасности предназначена для управления политикой репликации паролей контроллера домена только для чтения (RODC). По умолчанию у этой группы нет членов, и это приводит к тому, что новые контроллеры домена домена не кэшируют учетные данные пользователя. Группа репликации паролей RODC запрещена , содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC с отказом заменяет группу разрешенной репликации паролей RODC.

Группа разрешенной репликации паролей RODC применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-571<>
Тип Локальная в домене
Контейнер по умолчанию CN=Users DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Операторы архива

Члены группы операторов резервного копирования могут выполнять резервное копирование и восстановление всех файлов на компьютере независимо от разрешений, защищающих эти файлы. Операторы резервного копирования также могут входить в систему и завершать работу компьютера. Эту группу нельзя переименовать, удалить или удалить. По умолчанию у этой встроенной группы нет членов, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Члены следующих групп могут изменять членство в группах операторов резервного копирования: администраторы служб по умолчанию, администраторы домена в домене и администраторы предприятия. Члены группы операторов резервного копирования не могут изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять параметры сервера или изменять конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена. Поскольку члены этой группы могут заменять файлы на контроллерах домена, они считаются администраторами служб.

Группа "Операторы резервного копирования" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-551
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Резервное копирование файлов и каталогов: SeBackupPrivilege

Вход в качестве пакетного задания: SeBatchLogonRight

Восстановление файлов и каталогов: SeRestorePrivilege

Завершение работы системы: SeShutdownPrivilege

Доступ DCOM службы сертификации

Члены этой группы могут подключаться к центрам сертификации предприятия.

Группа доступа DCOM службы сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-domain-574<>
Тип Локальный домен
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Издатели сертификатов

Члены группы издателей сертификатов имеют право публиковать сертификаты для объектов пользователей в Active Directory.

Группа издателей сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-517<>
Тип Локальный домен
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Отказано в репликации паролей RODC
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Клонируемые контроллеры домена

Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и Windows Server 2012 можно развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде больше не требуется повторно развертывать образ сервера, подготовленный с помощью Sysprep.exe, повышение уровня сервера до контроллера домена, а затем выполнение дополнительных требований к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена в эту группу безопасности).

Дополнительные сведения см. в разделе Знакомство с виртуализацией доменных служб Active Directory (уровень 100).

attribute Значение
Известный SID/RID S-1-5-21-domain-522<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Криптографические операторы

Членам этой группы разрешено выполнение операций криптографии. Эта группа безопасности была добавлена в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме common Criteria.

Группа операторов шифрования применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности появилась в Windows Vista с пакетом обновления 1 (SP1) и не изменилась в последующих версиях.

attribute Значение
Известный SID/RID S-1-5-32-569
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Отказано в репликации паролей RODC

Пароли членов группы репликации паролей RODC запрещены невозможно реплицировать в rodC.

Эта группа безопасности предназначена для управления политикой репликации паролей RODC. Эта группа содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC с отказом заменяет группу разрешенной репликации паролей RODC .

Эта группа безопасности включает следующие изменения с Windows Server 2008:

attribute Значение
Известный SID/RID S-1-5-21-domain-572<>
Тип Локальная в домене
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Издатели сертификатов

Администраторы домена

Контроллеры домена

Администраторы предприятия

Владельцы-создатели групповой политики

Контроллеры домена только для чтения

Администраторы схемы

Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию?
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Владельцы устройств

Если у группы владельцев устройств нет участников, рекомендуется не изменять конфигурацию по умолчанию для этой группы безопасности. Изменение конфигурации по умолчанию может препятствовать будущим сценариям, которые полагаются на эту группу. В настоящее время группа владельцев устройств не используется в Windows.

Группа "Владельцы устройств" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-583
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Вы можете переместить группу, но мы не рекомендуем ее
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Доступ к этому компьютеру из сети: SeNetworkLogonRight

Обход проверки обхода: SeChangeNotifyPrivilege

Изменение часового пояса: SeTimeZonePrivilege

Администраторы DHCP

Члены группы администраторов DHCP могут создавать, удалять и управлять различными областями области сервера, включая права на резервное копирование и восстановление базы данных ПРОТОКОЛА DHCP. Несмотря на то, что эта группа имеет права администратора, она не является частью группы "Администраторы", так как эта роль ограничена службами DHCP.

Группа "Администраторы DHCP" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain<>
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Пользователи
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Вы можете переместить группу, но мы не рекомендуем ее
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Пользователи DHCP

Члены группы пользователей DHCP могут видеть, какие области активны или неактивны, узнать, какие IP-адреса назначены, и просмотреть проблемы с подключением, если DHCP-сервер настроен неправильно. Эта группа ограничена доступом только для чтения к DHCP-серверу.

Группа пользователей DHCP применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain<>
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Пользователи
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Вы можете переместить группу, но мы не рекомендуем ее
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Пользователи DCOM

Члены группы распределенных пользователей COM могут запускать, активировать и использовать распределенные COM-объекты на компьютере. Объектная модель компонентов Майкрософт (COM) — это независимая от платформы распределенная объектная система для создания компонентов двоичного программного обеспечения, которые могут взаимодействовать. Распределенная объектная модель компонента (DCOM) позволяет приложениям распределяться между расположениями, которые наиболее понятны для вас и приложения. Эта группа отображается как sid, пока контроллер домена не будет создан основным контроллером домена, и он содержит главный образец операций (также называемый гибкими отдельными главными операциями или FSMO).

Группа распределенных пользователей COM применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-562
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

DnsUpdateProxy

Члены группы DnsUpdateProxy являются DNS-клиентами. Они могут выполнять динамические обновления от имени других клиентов, например для DHCP-серверов. DNS-сервер может разрабатывать устаревшие записи ресурсов, если DHCP-сервер настроен для динамической регистрации записей ресурсов узла (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности устраняет этот сценарий.

Однако для защиты от незащищенных записей или разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, разрешающих только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с помощью учетных данных (имя пользователя, пароль и домен) этой учетной записи. Несколько DHCP-серверов могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует, только если роль DNS-сервера установлена или была установлена на контроллере домена в домене.

Дополнительные сведения см. в статье о владельцах записей DNS и группе DnsUpdateProxy.

attribute Значение
Известный SID/RID S-1-5-21-domain-variable<>< RI>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

DnsAdmins

Члены группы DnsAdmins имеют доступ к сведениям о сети DNS. Разрешения по умолчанию: "Разрешить", "Чтение", "Запись", "Создать все дочерние объекты", "Удалить дочерние объекты", "Специальные разрешения". Эта группа существует, только если роль DNS-сервера установлена или была установлена на контроллере домена в домене.

Дополнительные сведения о безопасности и DNS см. в разделе DNSSEC в Windows Server 2012.

attribute Значение
Известный SID/RID S-1-5-21-domain-variable<>< RI>
Тип Встроенный локальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Администраторы домена

Члены группы безопасности администраторов домена имеют право администрировать домен. По умолчанию группа "Администраторы домена" входит в группу "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Группа "Администраторы домена" является владельцем по умолчанию любого объекта, созданного в Active Directory для домена любым участником группы. Если члены группы создают другие объекты, такие как файлы, владелец по умолчанию — это группа "Администраторы".

Группа "Администраторы домена" управляет доступом ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене. Члены групп администраторов служб в своем домене (администраторы и администраторы домена) и члены группы администраторов предприятия могут изменять членство администраторов домена. Эта группа считается учетной записью администратора службы, так как ее члены имеют полный доступ к контроллерам домена в домене.

Группа администраторов домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-512<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Администратор
Является членом по умолчанию. Администраторы

Отказано в репликации паролей RODC

Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию См. раздел "Администраторы"

См . сведения о репликации паролей RODC с отказом в доступе

Компьютеры домена

Эта группа может включать все компьютеры и серверы, присоединенные к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

Группа "Компьютеры домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-515<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Все компьютеры, присоединенные к домену, за исключением контроллеров домена
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да (но не обязательно)
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

Контроллеры домена

Группа контроллеров домена может включать все контроллеры домена в домен. Новые контроллеры домена автоматически добавляются в эту группу.

Группа контроллеров домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-516<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Учетные записи компьютеров для всех контроллеров домена
Является членом по умолчанию. Отказано в репликации паролей RODC
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Нет
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Гости домена

Группа "Гости домена" включает встроенную гостевую учетную запись домена. Когда члены этой группы входят в систему как локальные гости на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

Группа "Гости домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-514<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Гость
Является членом по умолчанию. Гости
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Вы можете переместить группу, но не рекомендуем ее
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Просмотр гостей

Пользователи домена

Группа "Пользователи домена" включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене она автоматически добавляется в эту группу.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эту группу можно использовать для представления всех пользователей в домене. Например, если все пользователи домена должны иметь доступ к принтеру, можно назначить этому принтеру разрешения или добавить группу "Пользователи домена" в локальную группу на сервере печати с разрешениями для принтера.

Группа "Пользователи домена" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-513<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Администратор
krbtgt
Является членом по умолчанию. Пользователи
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Просмотр пользователей

Администраторы предприятия

Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory. Группа является универсальной группой, если домен находится в собственном режиме. Группа — это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в active Directory на уровне леса, например добавлять дочерние домены.

По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу "Администраторы" в каждом домене в лесу и предоставляет полный доступ к настройке всех контроллеров домена. Участники этой группы могут изменять членство во всех административных группах. Члены групп администраторов служб по умолчанию в корневом домене могут изменять членство администраторов предприятия. Эта группа считается учетной записью администратора службы.

Группа администраторов предприятия применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-root< domain-519>
Тип Универсальный, если домен находится в собственном режиме; в противном случае — глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Администратор
Является членом по умолчанию. Администраторы

Отказано в репликации паролей RODC

Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию См . раздел "Администраторы"

См. раздел "Отказано в репликации паролей RODC"

Администраторы корпоративных ключей

Члены этой группы могут выполнять административные действия с ключевыми объектами в лесу.

attribute Значение
Известный SID/RID S-1-5-21-domain-527<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Корпоративные контроллеры домена только для чтения

Члены этой группы являются контроллерами домена домена на предприятии. За исключением паролей учетных записей, RODC содержит все объекты и атрибуты Active Directory, которые содержит контроллер домена, доступный для записи. Однако изменения нельзя вносить в базу данных, хранящуюся в RODC. Изменения должны быть внесены на контроллере домена с возможностью записи, а затем реплицироваться в RODC.

Контроллеры домена для контроллеров домена устраняют некоторые проблемы, которые часто встречаются в филиалах. В этих расположениях может не быть контроллера домена или у них может быть доступный для записи контроллер домена, но не физическая безопасность, пропускная способность сети или локальный опыт поддержки.

Дополнительные сведения см. в разделе "Что такое контроллер домена только для чтения"?

Группа контроллеров домена только для чтения предприятия применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-root< domain-498>
Тип Универсальное
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию?
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Читатели журнала событий

Члены этой группы могут считывать журналы событий с локальных компьютеров. Группа создается при повышении уровня сервера до контроллера домена.

Группа "Читатели журналов событий" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-573
Тип Локальный домен
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Владельцы-создатели групповой политики

Эта группа авторизована для создания, изменения и удаления групповая политика объектов в домене. По умолчанию единственным членом группы является администратор.

Сведения о других функциях, которые можно использовать с этой группой безопасности, см. в групповая политика обзоре.

Группа владельцев создателей групповая политика применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-520<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Администратор
Является членом по умолчанию. Отказано в репликации паролей RODC
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Нет
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию См . сведения о репликации паролей RODC с отказом в доступе

Гости

Участники группы гостей имеют тот же доступ, что и члены группы "Пользователи" по умолчанию, за исключением того, что у гостевой учетной записи есть дополнительные ограничения. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или одноразовым пользователям входить с ограниченными привилегиями во встроенную гостевую учетную запись компьютера.

При выходе из группы гостей весь профиль удаляется. Удаление профиля включает все, что хранится в каталоге %userprofile% , включая сведения о кусте реестра пользователя, настраиваемые значки рабочего стола и другие параметры, связанные с пользователем. Это означает, что гость должен использовать временный профиль для входа в систему. Эта группа безопасности взаимодействует с параметром групповая политика. Если эта группа безопасности включена, не войдите в систему для пользователей с временными профилями. Чтобы получить доступ к этому параметру, перейдите кпрофилям пользователей системы административных>шаблонов>конфигурации> компьютера.

Примечание

Гостевая учетная запись является членом группы безопасности гостей по умолчанию. Люди, у которых нет фактической учетной записи в домене, можно использовать гостевую учетную запись. Пользователь, учетная запись которого отключена (но не удалена), также может использовать учетную запись "Гость". Учетная запись "Гость" не требует пароля. Вы можете задать права и разрешения для гостевой учетной записи, как в любой учетной записи пользователя. По умолчанию гостевая учетная запись является членом встроенной группы гостей и глобальной группы гостей домена, которая позволяет пользователю входить в домен. По умолчанию учетная запись гостя отключена, и включать ее не рекомендуется.

Группа гостей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-546
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Гости домена
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

администраторы Hyper-V;

Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям в Hyper-V. Добавление участников в эту группу помогает уменьшить количество участников, необходимых в группе "Администраторы", и дополнительно отделяет доступ.

Примечание

До Windows Server 2012 доступ к функциям в Hyper-V был частично контролируется членством в группе администраторов.

attribute Значение
Известный SID/RID S-1-5-32-578
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

IIS_IUSRS

IIS_IUSRS — это встроенная группа, используемая службами IIS, начиная с IIS 7. Встроенная учетная запись и группа гарантируются операционной системой для постоянного уникального идентификатора безопасности. IIS 7 заменяет учетную запись IUSR_MachineName и группу IIS_WPG группой IIS_IUSRS, чтобы убедиться, что фактические имена новой учетной записи и группы никогда не локализованы. Например, независимо от языка устанавливаемой операционной системы Windows имя учетной записи IIS всегда будет IUSR, а имя группы будет IIS_IUSRS.

Дополнительные сведения см. в статье "Общие сведения о встроенных учетных записях пользователей и групп" в IIS 7.

attribute Значение
Известный SID/RID S-1-5-32-568
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; IUSR
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию?
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Создатели входящего доверия леса

Члены группы "Построитель доверия входящих лесов" могут создавать входящие односторонние отношения доверия к этому лесу. Active Directory обеспечивает безопасность в нескольких доменах или лесах через отношения доверия между доменами и лесами. Прежде чем проверка подлинности может произойти в отношениях доверия, Windows должна определить, имеет ли домен, запрашиваемый пользователем, компьютером или службой, отношение доверия с доменом входа запрашивающей учетной записи.

Чтобы сделать это решение, система безопасности Windows вычисляет путь доверия между контроллером домена для сервера, который получает запрос и контроллер домена в домене запрашивающей учетной записи. Защищенный канал распространяется на другие домены Active Directory через междоменовые отношения доверия. Этот защищенный канал используется для получения и проверки сведений о безопасности, включая идентификаторы БЕЗОПАСНОСТИ для пользователей и групп.

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения см. в статье о том, как работают отношения доверия между доменами и лесами: отношения доверия между доменами и лесами.

Группа построитель доверия входящих лесов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-557
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Администраторы ключей

Члены этой группы могут выполнять административные действия с ключевыми объектами в домене.

Группа "Администраторы ключей" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-526<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Операторы настройки сети

Члены группы операторов конфигурации сети могут иметь следующие права администратора для управления конфигурацией сетевых функций:

  • Измените свойства протокола tcp/IP для подключения локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

  • Переименуйте подключения по локальной сети или подключения удаленного доступа, доступные всем пользователям.

  • Включение или отключение подключения по локальной сети.

  • Измените свойства всех подключений удаленного доступа пользователей.

  • Удалите все подключения удаленного доступа пользователей.

  • Переименуйте все подключения удаленного доступа пользователей.

  • Проблема ipconfig, ipconfig /releaseи ipconfig /renew команды.

  • Введите ключ разблокировки ПИН-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

Эта группа отображается как sid, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа операторов конфигурации сети применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-556
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

Пользователи журнала производительности

Члены группы "Пользователи журналов производительности" могут управлять счетчиками производительности, журналами и оповещениями локально на сервере и удаленных клиентах, не являясь членом группы "Администраторы". В частности, члены этой группы безопасности:

  • Может использовать все функции, доступные для группы пользователей Монитор производительности.

  • Может создавать и изменять наборы сборщиков данных после назначения группе права на вход в качестве пользователя пакетного задания .

    Предупреждение

    Если вы входите в группу "Пользователи журнала производительности", необходимо настроить наборы сборщиков данных, создаваемые для запуска под учетными данными.

    Примечание

    В Windows Server 2016 и более поздних версиях член группы пользователей журнала производительности не может создавать наборы сборщиков данных. Если член группы пользователей журнала производительности пытается создать наборы сборщиков данных, они не смогут выполнить действие, так как доступ запрещен.

  • Не удается использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.

Чтобы участники группы "Пользователи журналов производительности" запускали ведение журнала данных или изменяли наборы сборщиков данных, сначала группе необходимо назначить вход в качестве пользователя пакетного задания . Чтобы назначить это право, используйте оснастку "Локальная политика безопасности" в консоли управления (MMC).

Эта группа отображается как sid, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту учетную запись нельзя переименовать, удалить или переместить.

Группа "Пользователи журнала производительности" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-559
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Вход в качестве пакетного задания: SeBatchLogonRight

пользователи системного монитора.

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и из удаленных клиентов, не являясь членом групп "Администраторы" или "Пользователи журналов производительности". Windows Монитор производительности — это оснастка MMC, которая предоставляет средства для анализа производительности системы. В одной консоли можно отслеживать производительность приложений и оборудования, настраивать данные, которые требуется собирать в журналах, определять пороговые значения для оповещений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

В частности, члены этой группы безопасности:

  • Может использовать все функции, доступные для группы "Пользователи".

  • Может просматривать данные о производительности в режиме реального времени в Монитор производительности.

  • Может изменить свойства Монитор производительности при просмотре данных.

  • Не удается создать или изменить наборы сборщиков данных.

Предупреждение

Члены группы пользователей Монитор производительности не могут настраивать наборы сбора данных.

Эта группа отображается как sid, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа пользователей Монитор производительности применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-558
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

Доступ, совместимый с Windows 2000

Члены группы доступа, совместимой с Пред Windows 2000, имеют доступ на чтение для всех пользователей и групп в домене. Эта группа предоставляется для обеспечения обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений "Все" входит в эту группу. Добавлять пользователей в эту группу только в том случае, если они работают Windows NT 4.0 или более ранних версий.

Предупреждение

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO).

Группа доступа, совместимая с Windows 2000, применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-554
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; При выборе режима разрешений, совместимых с Пред Windows 2000, все пользователи и анонимные являются участниками. Если выбран режим разрешений только для Windows 2000, пользователи, прошедшие проверку подлинности, являются членами.
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Доступ к этому компьютеру из сети: SeNetworkLogonRight

Обход проверки обхода: SeChangeNotifyPrivilege

Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами принтера Active Directory в домене. Члены этой группы могут локально входить в контроллеры домена и завершать работу в домене.

По умолчанию в эту группу не входит ни один участник. Так как члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавьте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или удалить.

Группа операторов печати применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Дополнительные сведения см. в разделе "Назначение делегированных параметров администратора печати и принтера" в Windows Server 2012.

attribute Значение
Известный SID/RID S-1-5-32-550
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege

Завершение работы системы: SeShutdownPrivilege

Защищенные пользователи

Члены группы "Защищенные пользователи" имеют дополнительную защиту от компрометации учетных данных во время процессов проверки подлинности.

Эта группа безопасности предложена в рамках стратегии эффективной защиты и управления учетными данными внутри предприятия. Члены этой группы автоматически применяют к своим учетным записям не настраиваемую защиту. По умолчанию предполагается, что членство в группе защищенных пользователей накладывает определенные ограничения и обеспечивает профилактическую защиту. Единственный способ изменить защиту учетной записи — удалить учетную запись из группы безопасности.

Эта группа, связанная с доменом, активирует не настраиваемую защиту на устройствах и хост-компьютерах, начиная с Windows Server 2012 R2 и Windows 8.1 операционных систем. Он также активирует ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2016 или Windows Server 2012 R2. Эта защита значительно сокращает объем памяти учетных данных при входе пользователей на компьютеры в сети с нескомпрометированного компьютера.

В зависимости от функционального уровня домена учетной записи члены группы "Защищенные пользователи" дополнительно защищаются из-за изменений в поведении методов проверки подлинности, поддерживаемых в Windows:

  • Члены группы защищенных пользователей не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSP): NTLM, дайджест-аутентификации или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 10 или Windows 8.1, поэтому устройство не проходит проверку подлинности в домене, когда учетная запись является членом группы защищенных пользователей.

  • Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной проверки подлинности. Домен должен быть настроен для поддержки по крайней мере набора шифров AES.

  • Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Если пользователь является членом группы "Защищенные пользователи", более ранние подключения к другим системам могут завершиться ошибкой.

  • Вы можете изменить значение времени существования билетов Kerberos по умолчанию (TGT) по умолчанию с помощью политик проверки подлинности и силосов в Центре администрирования Active Directory. В параметре по умолчанию, когда прошло четыре часа, пользователь должен снова пройти проверку подлинности.

Группа "Защищенные пользователи" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. в разделе "Защищенные пользователи".

В следующей таблице указаны свойства группы "Защищенные пользователи".

attribute Значение
Известный SID/RID S-1-5-21-domain-525<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Серверы RAS и IAS

Компьютеры, которые являются членами группы серверов RAS и IAS, при правильной настройке, могут использовать службы удаленного доступа. По умолчанию эта группа не имеет членов. Компьютеры под управлением службы маршрутизации и удаленного доступа (RRAS) и служб удаленного доступа, таких как служба проверки подлинности в Интернете (IAS) и серверы политики сети, добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов пользователей, таким как ограничения на чтение учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения.

Группа серверов RAS и IAS применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-domain-553<>
Тип Встроенный локальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

Серверы конечных точек RDS

Серверы, которые являются членами группы серверов конечных точек удаленных рабочих столов, могут запускать виртуальные машины и сеансы узлов, в которых выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы. Эту группу необходимо заполнить на серверах с брокером подключений к удаленному рабочему столу. Серверы узла сеансов и серверы узла виртуализации удаленных рабочих стола, используемые в развертывании, должны находиться в этой группе.

Сведения о службах удаленных рабочих столов (RDS) см. в разделе "Размещение рабочих столов и приложений" в службах удаленных рабочих столов.

attribute Значение
Известный SID/RID S-1-5-32-576
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Серверы управления удаленными рабочими столами

Серверы, которые входят в группу серверов управления удаленными рабочими столами, можно использовать для выполнения стандартных административных действий на серверах под управлением RDS. Эту группу необходимо заполнить на всех серверах в развертывании RDS. Серверы, на которых запущена служба централизованного управления RDS, должны быть включены в эту группу.

attribute Значение
Известный SID/RID S-1-5-32-577
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Серверы удаленного доступа RDS

Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и личным виртуальным рабочим столам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эту группу необходимо заполнить на серверах с брокером подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, используемые в развертывании, должны находиться в этой группе.

Дополнительные сведения см. в статье "Размещение рабочих столов и приложений" в службах удаленных рабочих столов.

attribute Значение
Известный SID/RID S-1-5-32-575
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена. RODC позволяет организациям легко развертывать контроллер домена в сценариях, в которых физическая безопасность не гарантируется, например в филиалах филиалов или когда локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или роли, доступной для приложений.

Так как вы можете делегировать администрирование RODC пользователю домена или группе безопасности, rodC хорошо подходит для сайта, который не должен иметь пользователя, который является членом группы администраторов домена. RodC имеет следующие функциональные возможности:

  • Содержит базу данных AD DS только для чтения.

  • Однонаправленная репликация

  • Кэширование учетных данных

  • Разделение ролей администратора

  • Содержит систему доменных имен только для чтения (DNS)

Дополнительные сведения см. в разделе "Планирование и развертывание" для контроллеров домена только для чтения.

attribute Значение
Известный SID/RID S-1-5-21-domain-521<>
Тип Глобальный
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Отказано в репликации паролей RODC
Защищено adminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию См . сведения о репликации паролей RODC с отказом в доступе

Пользователи удаленного рабочего стола

Используйте группу "Пользователи удаленного рабочего стола" на сервере узла сеансов удаленных рабочих столов, чтобы предоставить пользователям и группам разрешения на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или удалить. Группа отображается как sid, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO).

Группа "Пользователи удаленного рабочего стола" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-555
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

пользователи удаленного управления;

Члены группы пользователей удаленного управления могут получать доступ к ресурсам инструментария управления Windows (WMI) через такие протоколы управления, как WS-Management через службу удаленного управления Windows. Доступ к ресурсам WMI применяется только к пространствам имен WMI, предоставляющим доступ пользователю.

Используйте группу "Пользователи удаленного управления", чтобы разрешить пользователям управлять серверами через консоль диспетчер сервера. Используйте группу WinRMRemoteWMIUsers\_, чтобы разрешить пользователям удаленно выполнять команды Windows PowerShell.

Дополнительные сведения см. в статье "Новые возможности mi" и "О WMI".

attribute Значение
Известный SID/RID S-1-5-32-580
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено adminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Невозможно переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Репликатор

Компьютеры, которые являются членами группы репликатора, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и скриптов входа, хранящихся в папке системного тома (папка sysvol). Каждый контроллер домена сохраняет копию папки sysvol для доступа к сетевым клиентам. FRS также может реплицировать данные для распределенной файловой системы (DFS) и синхронизировать содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки на нескольких серверах одновременно. При внесении изменений содержимое синхронизируется непосредственно на сайтах и по расписанию между сайтами.

Предупреждение

В Windows Server 2008 R2 нельзя использовать FRS для репликации папок DFS или пользовательских (не sysvol) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общей папки sysvol в домене, использующего FRS для репликации общего ресурса папки sysvol между контроллерами домена. Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса папки sysvol. Служба репликации DFS является заменой FRS. Репликацию DFS можно использовать для репликации содержимого общего ресурса папки sysvol, папок DFS и других пользовательских (не sysvol) данных. Необходимо перенести все наборы реплик FRS, отличные от sysvol, в репликацию DFS.

Дополнительные сведения см. в разделе:

attribute Значение
Известный SID/RID S-1-5-32-552
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

Администраторы схемы

Члены группы администраторов схем могут изменять схему Active Directory. Эта группа существует только в корневом домене леса доменов Active Directory. Эта группа является универсальной группой, если домен находится в собственном режиме. Эта группа является глобальной группой, если домен находится в смешанном режиме.

Группа авторизована для внесения изменений в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

Любой из групп администраторов служб в корневом домене может изменить членство в этой группе. Эта группа считается учетной записью администратора службы, так как ее члены могут изменять схему, которая управляет структурой и содержимым всего каталога.

Дополнительные сведения см. в разделе "Что такое схема Active Directory"?

Группа администраторов схем применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-21-root< domain-518>
Тип Универсальный (если домен находится в собственном режиме) в другом глобальном
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Администратор
Является членом по умолчанию. Отказано в репликации паролей RODC
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию См. раздел "Отказано в репликации паролей RODC"

Операторы сервера

Члены группы операторов сервера могут администрировать контроллеры домена. Эта группа существует только на контроллерах домена. По умолчанию группа не имеет участников. Члены группы "Операторы сервера" могут выполнять следующие действия: входить на сервер в интерактивном режиме, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и завершать работу компьютера. Эту группу нельзя переименовать, удалить или удалить.

По умолчанию у этой встроенной группы нет членов. Группа имеет доступ к параметрам конфигурации сервера на контроллерах домена. Его членство контролируется администраторами служб и администраторами домена в домене, а также группой администраторов предприятия в корневом домене леса. Члены этой группы не могут изменять членство в административных группах. Эта группа считается учетной записью администратора службы, так как ее члены имеют физический доступ к контроллерам домена. Члены этой группы могут выполнять такие задачи обслуживания, как резервное копирование и восстановление, и они могут изменять двоичные файлы, установленные на контроллерах домена. См. сведения о правах пользователя группы по умолчанию в следующей таблице.

Группа операторов сервера применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-549
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Резервное копирование файлов и каталогов: SeBackupPrivilege

Изменение системного времени: SeSystemTimePrivilege

Изменение часового пояса: SeTimeZonePrivilege

Принудительное завершение работы из удаленной системы: SeRemoteShutdownPrivilege

Восстановление файлов и каталогов: восстановление файлов и каталогов SeRestorePrivilege

Завершение работы системы: SeShutdownPrivilege

Администраторы реплик хранилища

Члены группы администраторов реплик хранилища имеют полный и неограниченный доступ ко всем функциям реплики хранилища. Группа администраторов реплик хранилища применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-582
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Системные управляемые учетные записи

Членство в группе системных управляемых учетных записей управляется системой.

Группа системных управляемых учетных записей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-581
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Пользователи
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Серверы лицензирования сервера терминалов

Члены группы серверов лицензирования сервера терминалов могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензий. Группа используется для отслеживания и отчета об использовании TS на пользователя CAL. TS на пользователя cal дает одному пользователю право доступа к экземпляру сервера терминалов с неограниченного количества клиентских компьютеров или устройств. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения об этой группе безопасности см. в разделе "Конфигурация группы безопасности сервера лицензий служб терминалов".

Группа серверов лицензирования сервера терминалов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-561
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Защищено администратором AdminSDHolder? Нет
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

Пользователи

Члены группы "Пользователи" не могут вносить случайные или преднамеренные системные изменения. Члены этой группы могут запускать большинство приложений. После первоначальной установки операционной системы единственным членом является группа прошедших проверку подлинности пользователей. Когда компьютер присоединяется к домену, группа "Пользователи домена" добавляется в группу "Пользователи" на компьютере.

Пользователи могут выполнять такие задачи, как запуск приложения, использование локальных и сетевых принтеров, завершение работы компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые могут использоваться только в том случае, если программа установки приложения поддерживает установку на пользователя. Эту группу нельзя переименовать, удалить или удалить.

Группа "Пользователи" применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности включает следующие изменения с Windows Server 2008:

  • В Windows Server 2008 R2 Interactive добавлен в список членов по умолчанию.

  • В Windows Server 2012 элемент списка по умолчанию изменился с "Пользователи домена" на "Нет".

attribute Значение
Известный SID/RID S-1-5-32-545
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Прошедшие проверку подлинности пользователи

Пользователи домена

Интерактивный

Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Нет
Права пользователя по умолчанию Нет

Доступ к авторизации Windows

Члены этой группы имеют доступ к вычисляемому атрибуту GroupsGlobalAndUniversal в объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) для объектов учетной записи пользователя или объектов учетной записи компьютера в AD DS. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API ( функцию), считывающие этот атрибут, не выполняются, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа доступа к авторизации Windows применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

attribute Значение
Известный SID/RID S-1-5-32-560
Тип Встроенный локальный
Контейнер по умолчанию CN=Builtin, DC=<domain>, DC=
элементы по умолчанию; Контроллеры домена предприятия
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Не удается переместить
Безопасно ли делегировать управление этой группой не администраторам службы? Да
Права пользователя по умолчанию Нет

WinRMRemoteWMIUsers_

В Windows Server 2012 и Windows 8 вкладка "Общий доступ" добавлена в пользовательский интерфейс "Дополнительные параметры безопасности". На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Чтобы просмотреть эти сведения, необходимо иметь следующие разрешения и членства, соответствующие версии Windows Server, на котором работает файловый сервер.

Группа WinRMRemoteWMIUsers_ применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

  • Если общая папка размещена на сервере под управлением поддерживаемой версии операционной системы:

    • Вы должны быть членом группы WinRMRemoteWMIUsers__ или ГРУППЫ BUILTIN\Administrators.

    • У вас должны быть разрешения на чтение для общей папки.

  • Если общая папка размещена на сервере, на котором установлена версия Windows Server, более ранняя, чем Windows Server 2012:

    • Вы должны быть членом группы BUILTIN\Administrators.

    • У вас должны быть разрешения на чтение для общей папки.

В Windows Server 2012 функция "Помощь отказано в доступе" добавляет группу прошедших проверку подлинности пользователей в локальную группу WinRMRemoteWMIUsers__. Если включена функция "Помощь с отказом в доступе", все пользователи, прошедшие проверку подлинности, имеющие разрешения на чтение для общей папки, могут просматривать разрешения общей папки.

Примечание

Группа WinRMRemoteWMIUsers__ позволяет удаленно выполнять команды Windows PowerShell. В отличие от этого, группу "Пользователи удаленного управления" обычно используют для управления серверами с помощью консоли диспетчер сервера.

attribute Значение
Известный SID/RID S-1-5-21-domain-variable<>< RI>
Тип Локальная в домене
Контейнер по умолчанию CN=Users, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Нет
Защищено администратором AdminSDHolder? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой не администраторам службы?
Права пользователя по умолчанию Нет

См. также раздел