Active Directory 安全性群組
了解預設 Active Directory 安全性群組、群組範圍和群組函式。
什麼是 Active Directory 中的安全性群組?
Active Directory 有兩種常見的安全性主體形式:使用者帳戶和電腦帳戶。 這些帳戶代表個人或電腦的物理實體。 使用者帳戶也可用來作為某些應用程式的專用服務帳戶。
安全性群組是將使用者帳戶、電腦帳戶和其他群組收集成可管理單位的方式。
在 Windows Server 作業系統中,有數個內建帳戶和安全性群組已預先設定適當的權利和權限來執行特定工作。 在 Active Directory 中,系統管理責任會分給兩種類型的系統管理員:
服務管理員:負責維護和傳遞 Active Directory Domain Services (AD DS),包括管理網域控制站和設定 AD DS。
資料管理員:負責維護儲存在 AD DS 中以及網域成員伺服器和工作站上的資料。
Active Directory 安全性群組的運作方式
使用群組將使用者帳戶、電腦帳戶和其他群組收集成可管理的單位。 使用群組而非個別使用者,可協助您簡化網路維護和管理。
Active Directory 有兩種群組類型:
安全性群組:用來將權限指派給共用資源。
通訊群組:用來建立電子郵件通訊清單。
安全性群組
安全性群組可以提供有效率的方式,以指派對您網路上資源的存取權。 使用安全性群組可讓您:
指派使用者權限給 Active Directory 中的安全性群組。
您可以將使用者權限指派給安全性群組,以決定該群組的哪些成員可在網域或樹系的範圍內執行作業。 安裝 AD DS 時,使用者權限會自動指派給某些安全性群組,以協助系統管理員定義網域中的個人系統管理角色。
例如,使用者在您將其新增至 Active Directory 中的備份操作員群組後,即可備份及還原位於網域中各網域控制站上的檔案與目錄。 使用者可以完成這些動作,因為根據預設,使用者權限備份檔案和目錄和還原檔案和目錄會自動指派給備份操作員群組。 因此,此群組的成員會繼承指派給該群組的使用者權限。
您可以使用群組原則將使用者權限指派給安全性群組,以委派特定工作。 如需使用群組原則的詳細資訊,請參閱使用者權限指派。
指派資源的權限給安全性群組。
權限與使用者權限有所不同。 權限會指派給共用資源的安全性群組。 權限可決定誰可以存取資源及存取層級,例如「完全控制」或「讀取」。 系統會自動指派網域物件上所設定的某些權限,以允許預設安全性群組 (如帳戶操作員群組或網域管理員群組) 的各種存取層級。
安全性群組會列在可定義資源和物件權限的判別存取控制清單 (DACL) 中。 當系統管理員指派檔案共用或印表機等資源的權限時,他們應該將這些權限指派給安全性群組,而不是指派給個別使用者。 權限會指派一次給群組,而不是多次指派給每位個別使用者。 新增至群組的每個帳戶都會接收在 Active Directory 中指派給該群組的權限。 使用者會收到針對該群組定義的權限。
您可以使用安全性群組作為電子郵件實體。 將電子郵件訊息傳送給安全性群組時,該訊息也會傳送給群組中的所有成員。
通訊群組
您可以僅使用通訊群組,以使用 Exchange Server 之類的電子郵件應用程式,將電子郵件傳送給使用者集合。 通訊群組未啟用安全性,因此您無法將其包含在 DACL 中。
Group scope
每個群組都有一個範圍,可識別群組在網域樹狀結構或樹系中套用的範圍。 群組的範圍會定義可以授與群組之網路權限的位置。 Active Directory 定義了下列三個群組範圍:
環球
全域
網域本機
注意
除了這三個範圍之外,內建容器中的預設群組還有內建本機的群組範圍。 無法變更此群組範圍和群組類型。
下表描述這三個群組範圍,及其如何作為安全性群組運作:
範圍 | 可能的成員 | 範圍轉換 | 可以授與權限 | 可能的成員 |
---|---|---|---|---|
環球 | 來自相同樹系中任何網域的帳戶 來自相同樹系中任何網域的全域群組 來自相同樹系中任何網域的其他通用群組 |
如果群組不是任何其他通用群組的成員,則可以轉換成網域本機範圍 如果群組未包含任何其他通用群組,則可以轉換成全域範圍 |
在相同樹系或信任樹系中的任何網域上 | 相同樹系中的其他通用群組 相同樹系或信任樹系中的網域本機群組 相同樹系或信任樹系中電腦上的本機群組 |
全域 | 來自相同網域的帳戶 來自相同網域的其他全域群組 |
如果群組不是任何其他全域群組的成員,則可以轉換成通用範圍 | 在相同樹系或信任網域或樹系中的任何網域上 | 來自相同樹系中任何網域的通用群組 來自相同網域的其他全域群組 來自相同樹系中任何網域,或來自任何信任網域的網域本機群組 |
網域本機 | 來自任何網域或任何信任網域的帳戶 來自任何網域或任何信任網域的全域群組 來自相同樹系中任何網域的通用群組 來自相同網域的其他網域本機群組 來自其他樹系和外部網域的帳戶、全域群組和通用群組 |
如果群組未包含任何其他網域本機群組,則可以轉換成通用範圍 | 在相同的網域內 | 來自相同網域的其他網域本機群組 相同網域中電腦上的本機群組,不包括具有已知安全性識別碼 (SID) 的內建群組 |
特殊身分識別群組
特殊身分識別群組是特定特殊身分識別群組在一起的位置。 特殊身分識別群組沒有您可以修改的特定成員資格,但是可以根據情況來代表不同時間的不同使用者。 其中一些群組包括建立者擁有者、批次和已驗證的使用者。
如需詳細資訊,請參閱特殊身分識別群組。
預設安全性群組
預設群組 (如網域管理員群組) 是您在建立 Active Directory 網域時自動建立的安全性群組。 您可以使用這些預先定義的群組,協助控制共用資源的存取權,以及委派特定全網域的系統管理角色。
許多預設的群組會自動指派一套使用者權限,授權給群組的成員在網域中執行特定動作,像是登入本機系統或備份檔案與資料夾。 例如,備份操作員群組的成員可以執行網域中所有網域控制站的備份操作。
當您將使用者新增至群組時,使用者會收到指派給群組的所有使用者權限,包括針對任何共用資源指派給群組的所有權限。
預設群組位於 [內建] 容器和 [Active Directory 使用者和電腦] 中的 [使用者] 容器中。 內建容器包含以網域本機範圍定義的群組。 使用者容器中包含以全域範圍定義的群組,以及以網域本機範圍定義的群組。 您可以將位於這些容器中的群組移至網域內的其他群組或組織單位,但無法將其移至其他網域。
本文所列的一些系統管理群組和這些群組的所有成員都會受到定期檢查並套用特定安全性描述元的背景程序所保護。 此描述元是資料結構,其包含與受保護物件相關聯的安全性資訊。 此程序可確保修改其中一個系統管理帳戶或群組上的安全性描述元的任何成功的未經授權嘗試,都會使用受保護的設定來覆寫。
該安全性描述元存在於 AdminSDHolder 物件上。 如果您想要修改其中一個服務管理員群組或其任何成員帳戶上的權限,您必須修改 AdminSDHolder 物件上的安全性描述元,因此其會一致套用。 進行這些修改時請小心,因為您也會變更套用至所有受保護系統管理帳戶的預設設定。
預設 Active Directory 安全性群組
下列清單提供位於 Active Directory 中內建和使用者容器的預設群組描述:
- 存取控制協助操作員
- 帳戶操作員
- 系統管理員
- 允許的 RODC 密碼複寫
- 備份操作員
- 憑證服務 DCOM 存取
- 憑證發行者
- 可複製的網域控制站
- 密碼編譯操作員
- 拒絕的 RODC 密碼複寫
- 裝置擁有者
- DHCP 管理員
- DHCP 使用者
- 分散式 COM 使用者
- DnsUpdateProxy
- DnsAdmins
- 網域管理員
- 網域電腦
- 網域控制站
- 網域來賓
- 網域使用者
- 企業管理員
- 企業金鑰管理員
- 企業唯讀網域控制站
- 事件記錄檔讀取者
- 群組原則建立者擁有者
- 來賓
- Hyper-V 系統管理員
- IIS_IUSRS
- 傳入的樹系信任產生器
- 金鑰管理員
- 網路設定操作員
- 效能記錄使用者
- 效能監視器使用者
- Windows 2000 發行前版本相容存取
- 列印操作員
- 受保護的使用者
- RAS 與 IAS 伺服器
- RDS 端點伺服器
- RDS 管理伺服器
- RDS 遠端存取伺服器
- 唯讀網域控制站
- 遠端桌面使用者
- 遠端管理使用者
- 複製者
- 架構管理員
- 服務操作員
- 儲存體複本系統管理員
- 系統受控帳戶
- 終端機伺服器授權伺服器
- 使用者
- Windows 授權存取
- WinRMRemoteWMIUsers_
存取控制協助操作員
此群組的成員可以從遠端查詢此電腦上資源的授權屬性和權限。
存取控制協助操作員群組適用於預設 Active Directory 安全性群組資料表中列出的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-579 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Account Operators
帳戶操作員群組會將有限的帳戶建立權限授與使用者。 此群組的成員可以建立和修改大部分類型的帳戶,包括使用者的帳戶、本機群組和全域群組。 群組成員可以在本機登入網域控制站。
帳戶操作員群組的成員無法管理系統管理員使用者帳戶、系統管理員的使用者帳戶,或管理員、服務操作員、帳戶操作員、備份操作員或列印操作員群組。 此群組的成員無法修改使用者權限。
帳戶操作員群組適用於預設 Active Directory 安全性群組清單中的 Windows Server 作業系統。
注意
根據預設,這個內建群組沒有成員。 群組可以在網域中建立和管理使用者和群組,包括其本身的成員資格和伺服器操作員群組的成員資格。 此群組會被視為服務管理員群組,因為它可以修改伺服器操作員,進而修改網域控制站設定。 最佳做法是讓此群組的成員資格保持空白,且不會將其用於任何委派的系統管理。 此群組無法重新命名、刪除或移除。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-548 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 允許本機登入:SeInteractiveLogonRight |
系統管理員
系統管理員群組的成員擁有電腦的完整且不受限制的存取權。 如果電腦升級為網域控制站,則系統管理員群組的成員對網域具有不受限制的存取權。
系統管理員群組適用於預設 Active Directory 安全性群組清單中的 Windows Server 作業系統。
注意
系統管理員群組具有內建功能,可讓其成員完全控制系統。 此群組無法重新命名、刪除或移除。 此內建群組可控制其網域中所有網域控制站的存取權,且可以變更所有系統管理群組的成員資格。 下列群組的成員可以修改系統管理員群組成員資格:預設服務管理員、網域中的網域管理員,以及企業管理員。 此群組具有特殊權限,可取得目錄中任何物件的擁有權,或網域控制站上的任何資源。 此帳戶被視為服務系統管理員群組,因為其成員對網域中的網域控制站具有完整存取權。
此安全性群組包含自 Windows Server 2008 以來的下列變更:
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-544 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 系統管理員、網域管理員、企業管理員 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 從網路存取這台電腦:SeNetworkLogonRight 允許本機登入:SeInteractiveLogonRight 允許透過遠端桌面服務登入:SeRemoteInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 變更系統時間:SeSystemTimePrivilege 變更時區:SeTimeZonePrivilege 建立分頁檔:SeCreatePagefilePrivilege 建立全域物件:SeCreateGlobalPrivilege 建立符號連結:SeCreateSymbolicLinkPrivilege 偵錯程式:SeDebugPrivilege 讓電腦及使用者帳戶受信賴,以進行委派:SeEnableDelegationPrivilege 強制從遠端系統關閉:SeRemoteShutdownPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 增加排程優先順序:SeIncreaseBasePriorityPrivilege 載入和卸載裝置驅動程式:SeLoadDriverPrivilege 以批次作業登入:SeBatchLogonRight 管理稽核和安全性記錄:SeSecurityPrivilege 修改韌體環境值:SeSystemEnvironmentPrivilege 執行磁碟區維護工作:SeManageVolumePrivilege 設定檔系統效能:SeSystemProfilePrivilege 設定檔單一處理程序:SeProfileSingleProcessPrivilege 從銜接站移除電腦:SeUndockPrivilege 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege 取得檔案或其他物件的擁有權:SeTakeOwnershipPrivilege |
允許的 RODC 密碼複寫
此安全性群組的目的是管理唯讀網域控制站 (RODC) 密碼複寫原則。 此群組預設沒有成員,且會產生新 RODC 不會快取使用者認證的情況。 拒絕的 RODC 密碼複寫群組包含各種高權限帳戶和安全性群組。 拒絕的 RODC 密碼複寫群組會取代允許的 RODC 密碼複寫群組。
允許的 RODC 密碼複寫群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-571 |
類型 | 網域本機 |
預設容器 | CN=Users DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Backup Operators
不論保護這些檔案的權限是什麼,備份操作員群組的成員都可以備份及還原電腦上所有的檔案。 備份操作員也可以登入並關閉電腦。 此群組無法重新命名、刪除或移除。 根據預設,此內建群組沒有成員,且可以在網域控制站上執行備份和還原作業。 下列群組的成員可以修改備份操作員群組成員資格:預設服務管理員、網域中的網域管理員,以及企業管理員。 備份操作員群組的成員無法修改任何系統管理群組的成員資格。 雖然此群組的成員無法變更伺服器設定或修改目錄的組態,但其確實具有取代網域控制站上檔案 (包括作業系統檔案) 所需的權限。 由於此群組的成員可以取代網域控制站上的檔案,因此會被視為服務管理員。
備份操作員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-551 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 允許本機登入:SeInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 以批次作業登入:SeBatchLogonRight 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege |
憑證服務 DCOM 存取
此群組的成員可以連線至企業中的憑證授權單位。
憑證服務 DCOM 存取群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-<domain>-574 |
類型 | 網域本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Cert Publishers
憑證發行者群組的成員有權在 Active Directory 中發佈使用者物件的憑證。
憑證發行者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-517 |
類型 | 網域本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
可複製的網域控制站
可以複製網域控制站之可複製網域控制站群組的成員。 在 Windows Server 2012 R2 和 Windows Server 2012 中,您可以複製現有的虛擬網域控制站來部署網域控制站。 在虛擬環境中,您不再需要重複部署使用 Sysprep.exe 準備的伺服器映像、將伺服器升級至網域控制站,然後完成部署每個網域控制站的更多設定需求 (包括將虛擬網域控制站新增至此安全性群組)。
如需詳細資訊,請參閱安全地虛擬化 Active Directory 網域服務 (AD DS)
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-522 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Cryptographic Operators
此群組的成員被授權執行加密編譯作業。 此安全性群組已在 Windows Vista Service Pack 1 (SP1) 中新增,以在通用條件中設定 IPsec 的 Windows 防火牆。
密碼編譯操作員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
此安全性群組是在 Windows Vista SP1 中引進的,且在後續版本中並未變更。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-569 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
拒絕的 RODC 密碼複寫
拒絕的 RODC 密碼複寫群組成員的密碼無法複寫到任何 RODC。
此安全性群組的目的是要管理 RODC 密碼複寫原則。 此群組包含各種高權限帳戶和安全性群組。 拒絕的 RODC 密碼複寫群組會取代允許的 RODC 密碼複寫群組。
此安全性群組包含自 Windows Server 2008 以來的下列變更:
- Windows Server 2012 已變更預設成員,以包含憑證發行者。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-572 |
類型 | 網域本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 憑證發行者 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
裝置擁有者
當裝置擁有者群組沒有成員時,建議您不要變更此安全性群組的預設設定。 變更預設設定可能會妨礙未來依賴於此群組的案例。 裝置擁有者群組目前未用於 Windows。
裝置擁有者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-583 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 您可以移動群組,但我們不建議這樣做 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 允許本機登入:SeInteractiveLogonRight 從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege 變更時區:SeTimeZonePrivilege |
DHCP Administrators
DHCP 管理員群組的成員可以建立、刪除及管理伺服器範圍的不同區域,包括備份和還原動態主機設定通訊協定 (DHCP) 資料庫的權限。 雖然此群組具有系統管理權限,但不是系統管理員群組的一部分,因為此角色僅限於 DHCP 服務。
DHCP 管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain> |
類型 | 網域本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 使用者 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 您可以移動群組,但我們不建議這樣做 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
DHCP 使用者
DHCP 使用者群組的成員可以看到哪些範圍為使用中或非使用中、查看指派的 IP 位址,以及在未正確設定 DHCP 伺服器時檢視連線問題。 此群組僅限於 DHCP 伺服器的唯讀存取權。
DHCP 使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain> |
類型 | 網域本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 使用者 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 您可以移動群組,但我們不建議這樣做 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
Distributed COM Users
分散式 COM 使用者群組的成員可以在電腦上啟動、啟用及使用分散式 COM 物件。 Microsoft 元件物件模型 (COM) 是一種與平台無關的分散式物件導向系統,用於建立可以互動的二進位軟體元件。 分散式元件物件模型 (DCOM) 可讓應用程式分散至您和應用程式最需要的位置。 此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留操作主機 (也稱為彈性單一主機作業或 FSMO) 角色。
分散式 COM 使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-562 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
DnsUpdateProxy
DnsUpdateProxy 群組的成員是 DNS 用戶端。 他們允許代表其他用戶端執行動態更新,例如 DHCP 伺服器。 當 DHCP 伺服器設定為使用動態更新來代表 DHCP 用戶端動態註冊主機 (A) 和指標 (PTR) 資源記錄時,DNS 伺服器可能會產生過時的資源記錄。 將用戶端新增至此安全性群組可減輕此案例。
不過,若要防止不安全的記錄,或允許 DnsUpdateProxy 群組的成員在只允許安全動態更新的區域中註冊記錄,您必須建立專用的使用者帳戶,並設定 DHCP 伺服器以使用此帳戶的認證 (使用者名稱、密碼和網域) 來執行 DNS 動態更新。 多個 DHCP 伺服器可以使用一個專用使用者帳戶的認證。 只有當 DNS 伺服器角色目前或曾經安裝在網域中的網域控制站上時,才會存在此群組。
如需詳細資訊,請參閱 DNS 記錄擁有權和 DnsUpdateProxy 群組。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-<variable RI> |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
DnsAdmins
DnsAdmins 群組的成員可以存取網路 DNS 資訊。 預設權限為允許:讀取、寫入、建立所有子物件、刪除子物件、特殊權限。 只有當 DNS 伺服器角色目前或曾經安裝在網域中的網域控制站上時,才會存在此群組。
如需安全性和 DNS 的詳細資訊,請參閱 Windows Server 2012 中的 DNSSEC。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-<variable RI> |
類型 | 內建本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Domain Admins
網域管理員安全性群組的成員有權管理網域。 根據預設,網域管理員群組是所有已加入網域電腦上的 Administrators 群組成員,包括網域控制站。 網域管理員群組是群組的任何成員在 Active Directory 中為網域所建立任何物件的預設擁有者。 如果群組的成員建立其他物件 (例如檔案),則預設擁有者是系統管理員群組。
網域管理員群組可控制網域中所有網域控制站的存取權,且可以修改網域中所有系統管理帳戶的成員資格。 其網域中服務管理員群組的成員 (系統管理員和網域管理員) 和企業管理員群組的成員可以修改網域管理員成員資格。 此群組被視為服務系統管理員帳戶,因為其成員具有網域中網域控制站的完整存取權。
網域管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-512 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 系統管理員 |
下列群組的預設成員 | 系統管理員 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱系統管理員 |
網域電腦
此群組可以包含已加入網域的所有電腦和伺服器,但不包括網域控制站。 根據預設,所建立的任何電腦帳戶都會自動成為此群組的成員。
網域電腦群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-515 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 已加入網域的所有電腦,不包括網域控制站 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 是 (但不需要) |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
網域控制站
網域控制站群組可以包含網域中的所有網域控制站。 新的網域控制站會自動新增至此群組。
網域控制站群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-516 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 網域中所有網域控制站的電腦帳戶 |
下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | No |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
網域來賓
網域來賓群組包含網域的內建來賓帳戶。 當此群組的成員以已加入網域電腦上的本機來賓身分登入時,系統會在本機電腦上建立網域設定檔。
網域來賓群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-514 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 來賓 |
下列群組的預設成員 | 來賓 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 您可以移動群組,但我們不建議這樣做 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱來賓 |
網域使用者
網域使用者群組包含網域中的所有使用者帳戶。 當您在網域中建立使用者帳戶時,其會自動新增至此群組。
根據預設,在網域中建立的任何使用者帳戶都會自動成為此群組的成員。 您可以使用此群組來代表網域中的所有使用者。 例如,如果您想要讓所有網域使用者都能存取印表機,您可以將印表機的權限指派給此群組,或將網域使用者群組新增至具有印表機權限之列印伺服器上的本機群組。
網域使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-513 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 系統管理員 |
krbtgt | |
下列群組的預設成員 | 使用者 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱使用者 |
Enterprise Admins
企業管理員群組只存在於網域的 Active Directory 樹系根網域中。 如果網域處於原生模式,則群組是通用群組。 如果網域處於混合模式,則群組是全域群組。 此群組的成員有權在 Active Directory 中進行樹系範圍變更,例如新增子網域。
根據預設值,群組的唯一成員是樹系根網域的系統管理員帳戶。 此群組會自動新增至樹系中每個網域中的系統管理員群組,並提供設定所有網域控制站的完整存取權。 此群組中的成員可以修改所有系統管理群組的成員資格。 根網域中預設服務管理員群組的成員可以修改企業管理員成員資格。 此群組會被視為服務管理員帳戶。
企業管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<root domain>-519 |
類型 | 如果網域處於原生模式,則為通用;否則為全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 系統管理員 |
下列群組的預設成員 | 系統管理員 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱系統管理員 |
Enterprise Key Admins
此群組的成員可以在樹系內的主要物件上執行系統管理動作。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-527 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
企業唯讀網域控制站
此群組的成員是企業中的 RODC。 除了帳戶密碼,RODC 還會保有可寫入網域控制站所保有的所有 Active Directory 物件及屬性。 不過,您無法對儲存於 RODC 上的資料庫進行變更。 變更必須在可寫入的網域控制站上進行,然後複寫至 RODC。
RODC 解決了分公司中常見的一些問題。 這些位置可能沒有網域控制站,或者他們可能有可寫入的網域控制站,但沒有實體安全性、網路頻寬或本機專業知識來提供支援。
如需詳細資訊,請參閱 什麼是 RODC?
企業唯讀網域控制站群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<root domain>-498 |
類型 | 環球 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Event Log Readers
此群組的成員可以從本機電腦讀取事件記錄檔。 當伺服器升級為網域控制站時,就會建立群組。
事件記錄檔讀取者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-573 |
類型 | 網域本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Group Policy Creator Owners
此群組已獲授權在網域中建立、編輯及刪除群組原則物件。 根據預設,群組的唯一成員是系統管理員。
如需您可以搭配此安全性群組使用之其他功能的詳細資訊,請參閱群組原則概觀。
群組原則建立者擁有者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-520 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 系統管理員 |
下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | No |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
來賓
根據預設,來賓群組的成員具有與使用者群組成員相同的存取權,但來賓帳戶有進一步的限制。 根據預設,唯一的成員是來賓帳戶。 來賓群組允許偶爾或一次性使用者以有限的權限登入電腦內建的來賓帳戶。
當來賓群組的成員登出時,系統會刪除整個設定檔。 設定檔刪除包含儲存在 %userprofile% 目錄中的所有內容,包括使用者的登錄區資訊、自訂桌面圖示和其他使用者特定設定。 此事實表示來賓必須使用暫存設定檔登入系統。 此安全性群組會與群組原則設定互動。 啟用此安全性群組時,請勿登入具有暫存設定檔的使用者。 若要存取此設定,請移至 [電腦設定]>[系統管理範本]>[系統]>[使用者設定檔]。
注意
來賓帳戶是來賓安全性群組的預設成員。 在網域中沒有實際帳戶的人員可以使用來賓帳戶。 帳戶被停用 (但未刪除) 的使用者也可以使用 Guest 帳戶。 Guest 帳戶不需要密碼。 您可以為來賓帳戶設定權利及權限 (就像任何使用者帳戶一樣)。 根據預設值,來賓帳戶是內建來賓群組與網域來賓全域群組的成員,可允許使用者登入網域。 Guest 帳戶預設為停用,建議將它保持為停用。
來賓群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-546 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 網域來賓 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
Hyper-V 系統管理員
Hyper-V 系統管理員群組的成員對於 Hyper-V 中的所有功能具有完整與不受限制的存取權。 將成員新增至此群組有助於減少系統管理員群組中所需的成員數目,並進一步分隔存取權。
注意
在 Windows Server 2012 之前,Hyper-V 中的功能存取權是由系統管理員群組的成員資格所控制。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-578 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
IIS_IUSRS
IIS_IUSRS 是 Internet Information Services (IIS) 從 IIS 7 開始使用的內建群組。 作業系統保證內建帳戶和群組一律具有唯一的 SID。 IIS 7 會將 IUSR_MachineName 帳戶和 IIS_WPG 群組取代為 IIS_IUSRS 群組,以確保新帳戶和群組使用的實際名稱永遠不會當地語系化。 例如,無論您安裝的 Windows 作業系統語言為何,IIS 帳戶名稱一律為 IUSR,而群組名稱將會是 IIS_IUSRS。
如需詳細資訊,請參閱了解 IIS 7中的內建使用者和群組帳戶。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-568 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | IUSR |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
傳入樹系信任產生器
傳入樹系信任產生器群組的成員可以建立此樹系的傳入單向信任。 Active Directory 會透過網域和樹系信任關係,跨多個網域或樹系提供安全性。 在驗證可以跨信任進行之前,Windows 必須判斷使用者、電腦或服務所要求的網域是否與要求帳戶的登入網域有信任關係。
為了做出此判斷,Windows 安全性系統會計算伺服器網域控制站之間的信任路徑,以接收要求和要求帳戶網域中的網域控制站。 安全通道會透過網域間信任關係延伸至其他 Active Directory 網域。 此安全通道可用來取得和驗證安全性資訊,包括使用者和群組的 SID。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
如需詳細資訊,請參閱 網域和樹系信任的運作方式。
傳入樹系信任產生器群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-557 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
金鑰管理員
此群組的成員可以在網域內的主要物件上執行系統管理動作。
金鑰管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-526 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
Network Configuration Operators
網路設定操作員群組的成員可以具有下列系統管理權限來管理網路功能的設定:
修改區域網路 (LAN) 連線的傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 屬性,包括 IP 位址、子網路遮罩、預設閘道和名稱伺服器。
重新命名可供所有使用者使用的 LAN 連線或遠端存取連線。
啟用或停用 LAN 連線。
修改使用者所有遠端存取連線的屬性。
刪除使用者的所有遠端存取連線。
重新命名使用者的所有遠端存取連線。
發出
ipconfig
、ipconfig /release
和ipconfig /renew
命令。輸入支援 SIM 卡的行動寬頻裝置 PIN 解除封鎖金鑰 (PUK)。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
網路設定操作員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-556 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
效能記錄使用者
效能記錄使用者群組的成員可以在伺服器本機和遠端用戶端上管理效能計數器、記錄和警示,而不需要是系統管理員群組的成員。 具體而言,此安全性群組的成員:
可以使用效能監視器使用者群組可用的所有功能。
將登入為批次工作使用者權限指派給群組之後,可以建立和修改資料收集器集合工具。
警告
如果您是效能記錄使用者群組的成員,就必須設定您建立的資料收集器集合工具,以使用您的認證來執行。
注意
在 Windows Server 2016 和更新版本中,效能記錄使用者群組的成員無法建立資料收集器集合。 如果效能記錄使用者群組的成員嘗試建立資料收集器集合,他們會因為存取遭到拒絕而無法完成動作。
無法在資料收集器集合中使用 Windows 核心追蹤事件提供者。
為了讓效能記錄使用者群組的成員能初始化資料記錄或修改資料收集器集合工具,必須先將群組指派登入為批次工作使用者權限。 如要指派此使用者權限,請使用 Microsoft 管理主控台 (MMC) 中的 [本機安全性原則] 嵌入式管理單元。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此帳戶無法重新命名、刪除或移動。
效能記錄使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-559 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 以批次作業登入:SeBatchLogonRight |
效能監視器使用者
此群組的成員可以在網域、本機和遠端用戶端的網域控制站上監視效能計數器,而不需要是系統管理員或效能記錄使用者群組的成員。 Windows 效能監視器是 MMC 嵌入式管理單元,可提供用來分析系統效能的工具。 您可以從單一主控台中監視應用程式與硬體效能、自訂要在記錄中收集的資料、定義警示與自動動作的閾值、產生報告,以及用各種方式檢視過去的效能資料。
具體而言,此安全性群組的成員:
可以使用使用者群組可用的所有功能。
可以在效能監視器中檢視即時效能資料。
可以在檢視資料時變更效能監視器顯示屬性。
無法建立或修改資料收集器集合。
警告
效能監視器使用者群組的成員無法設定資料收集器集合。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
效能監視器使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-558 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
Windows 2000 發行前版本相容存取
Windows 2000 發行前版本相容存取群組的成員具有網域中所有使用者和群組的讀取權限。 此群組針對執行 Windows NT 4.0 和更早版本的電腦提供回溯相容性。 根據預設,特殊身分識別群組所有人是此群組的成員。 只有在使用者執行 Windows NT 4.0 或更早版本時,才會將使用者新增至此群組。
警告
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。
Windows 2000 發行前版本相容存取群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-554 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 如果您選擇 Windows 2000 發行前版本相容存取模式,則所有人和匿名都是成員。 如果您選擇僅限 Windows 2000 的權限模式,則已驗證使用者為成員。 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege |
Print Operators
此群組的成員可以管理、建立、共用及刪除連線至網域中網域控制站的印表機。 他們也可以管理網域中的 Active Directory 印表機物件。 此群組的成員可以在本機登入和關閉網域中的網域控制站。
此群組沒有預設的成員。 由於此群組的成員可以在網域中的所有網域控制站上載入和卸載裝置驅動程式,因此請謹慎新增使用者。 此群組無法重新命名、刪除或移除。
列印操作員群組會套用至預設 Active Directory 安全性群組中的Windows Server 作業系統。
如需詳細資訊,請參閱在 Windows Server 2012 中指派委派的列印管理員和印表機權限設定。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-550 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 允許本機登入:SeInteractiveLogonRight 載入和卸載裝置驅動程式:SeLoadDriverPrivilege 關閉系統:SeShutdownPrivilege |
Protected Users
受保護使用者群組的成員在驗證程序期間有額外的保護,以防止認證遭到入侵。
此安全性群組被設計為可有效保護和管理企業內認證之策略的一部分。 此群組的成員帳戶會自動套用不可設定的保護。 Protected Users 群組中的成員資格預設應該要有限制性和主動防護。 您可以修改帳戶保護的唯一方式,就是從安全性群組中移除帳戶。
從 Windows Server 2012 R2 和 Windows 8.1 作業系統開始,此網域相關的全域群組會在裝置和主機電腦上觸發不可設定的保護。 其也會在具有執行 Windows Server 2016 或 Windows Server 2012 R2 之主要網域控制站網域中的控制站上觸發無法設定的保護。 當使用者是從未遭入侵的電腦登入網路上的電腦時,此保護可大幅減少認證的磁碟使用量。
根據帳戶的網域功能等級,受保護使用者群組的成員會因為 Windows 所支援之驗證方法中的行為變更而受到進一步的保護:
受保護的使用者群組成員無法使用下列安全性支援提供者 (SSP) 進行驗證:NTLM、摘要式驗證或 CredSSP。 執行 Windows 10 或 Windows 8.1 的裝置上不會快取密碼,因此當帳戶是受保護使用者群組的成員時,裝置無法向網域進行驗證。
Kerberos 通訊協定不會在預先驗證處理程序中使用較弱的 DES 或 RC4 加密類型。 網域必須設定為至少支援 AES 加密套件。
不可透過 Kerberos 限制或非限制委派來委派使用者的帳戶。 如果使用者是受保護使用者群組的成員,先前與其他系統的連線可能會失敗。
您可以在 Active Directory 管理中心使用驗證原則和定址接收器,變更四個小時的預設 Kerberos 票證授與票證 (TGT) 存留期設定。 在預設設定中,當四小時經過時,使用者必須再次驗證。
受保護使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
此群組是在 Windows Server 2012 R2 中引進的。 如需此群組運作方式的詳細資訊,請參閱受保護使用者安全性群組。
下表指定受保護使用者群組的屬性:
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-525 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
RAS 與 IAS 伺服器
當設定正確時,屬於 RAS 和 IAS 伺服器群組成員的電腦可以使用遠端存取服務。 根據預設,此群組沒有成員。 執行路由和遠端存取服務 (RRAS) 和遠端存取服務如網際網路驗證服務 (IAS) 和網路原則伺服器的電腦,會自動新增至群組。 此群組的成員可以存取使用者物件的特定屬性,例如讀取帳戶限制、讀取登入資訊,以及讀取遠端存取資訊。
RAS 和 IAS 伺服器群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-553 |
類型 | 內建本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
RDS 端點伺服器
RDS 端點伺服器群組中的成員伺服器可以執行虛擬機器,並裝載使用者 RemoteApp 程式和個人虛擬桌面執行所在的工作階段。 您必須在執行 RD 連線代理人的伺服器上填入此群組。 部署中使用的工作階段主機伺服器和 RD 虛擬化主機伺服器必須位於此群組中。
如需遠端桌面服務 (RDS) 的相關信息,請參閱 Windows Server 中的遠端桌面服務概觀。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-576 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
RDS 管理伺服器
您可以使用屬於 RDS 管理伺服器群組成員的伺服器,在執行 RDS 的伺服器上完成例行系統管理動作。 您必須在 RDS 部署中的所有伺服器上填入此群組。 執行 RDS 中央管理服務的伺服器必須包含在此群組中。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-577 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
RDS 遠端存取伺服器
RDS 遠端存取伺服器群組中的伺服器可讓使用者存取 RemoteApp 程式和個人虛擬桌面。 在網際網路對向部署中,這些伺服器通常會部署在邊緣網路中。 您必須在執行 RD 連線代理人的伺服器上填入此群組。 部署中使用的 RD 閘道伺服器和 RD Web 存取伺服器必須位於此群組中。
如需詳細資訊,請參閱 Windows Server 中的遠端桌面服務概觀。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-575 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Read-only Domain Controllers
此群組是由網域中的 RODC 所組成。 RODC 讓處於實體安全性無法獲得保證的組織 (例如,分公司位置);或者,本機儲存的所有網域密碼被視為主要威脅的組織 (如在外部網路或用於支援特定應用程式角色) 可以輕易地部署網域控制站。
因為您可以將 RODC 系統管理可以委派給網域使用者或安全性群組,所以對於不應該有身分為 網域管理員 群組成員之使用者的站台,非常適合使用 RODC。 RODC 具有下列功能:
包含唯讀 AD DS 資料庫
單向複寫
認證快取
系統管理員角色隔離
包含唯讀網域名稱系統 (DNS)
如需詳細資訊,請參閱 瞭解只讀域控制器的規劃和部署。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-521 |
類型 | 全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
Remote Desktop Users
使用 RD 工作階段主機伺服器上的遠端桌面使用者群組,授與使用者和群組遠端連線至 RD 工作階段主機伺服器的權限。 此群組無法重新命名、刪除或移除。 群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。
遠端桌面使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-555 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
遠端管理使用者
遠端桌面使用者群組的成員可透過管理通訊協定 (如透過 Windows 遠端管理服務的 WS-Management) 來存取 Windows Management Instrumentation (WMI) 資源。 WMI 資源的存取僅適用於授與使用者存取權的 WMI 命名空間。
使用遠端管理使用者群組可讓使用者透過伺服器管理員主控台來管理伺服器。 使用 WinRMRemoteWMIUsers\_ 群組可讓使用者從遠端執行 Windows PowerShell 命令。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-580 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Replicator
屬於複寫者群組成員的電腦支援網域中的檔案複寫。 Windows Server 作業系統會使用檔案複寫服務 (FRS) 來複寫儲存在系統磁碟區資料夾 (sysvol 資料夾) 中的系統原則和登入指令碼。 每個網域控制站都會保留 sysvol 資料夾的複本,以供網路用戶端存取。 FRS 也可以複寫分散式檔案系統 (DFS) 的資料,並同步複本集中每個成員的內容,如 DFS 所定義。 FRS 可以同時複製和維護多部伺服器上的共用檔案和資料夾。 發生變更時,內容會立即在網站內和網站之間的排程進行同步。
警告
在 Windows Server 2008 R2 中,您無法使用 FRS 來複寫 DFS 資料夾或自訂 (非 sysvol) 資料。 Windows Server 2008 R2 網域控制站仍然可以使用 FRS 來複寫使用 FRS 在網域控制站之間複寫 sysvol 資料夾共用資源之網域中 sysvol 資料夾共用資源的內容。 不過,Windows Server 2008 R2 伺服器無法使用 FRS 來複寫 sysvol 資料夾共用資源以外的任何複本集內容。 DFS 複寫服務是 FRS 的替代項目。 您可以使用 DFS 複寫來複寫 sysvol 資料夾共用資源、DFS 資料夾和其他自訂 (非 sysvol) 資料的內容。 您應該將所有非 sysvol FRS 複本集移轉至 DFS 複寫。
如需詳細資訊,請參閱
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-552 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |
Schema Admins
架構管理員群組的成員可以修改 Active Directory 架構。 此群組只存在於網域 Active Directory 樹系的根網域中。 如果網域處於原生模式,則此群組是通用群組。 如果網域處於混合模式,則此群組是全域群組。
該群組已獲授權在 Active Directory 中進行架構變更。 根據預設值,群組的唯一成員是樹系根網域的系統管理員帳戶。 此群組具有架構的完整系統管理存取權。
根網域中的任何服務管理員群組都可以修改此群組的成員資格。 此群組會被視為服務管理員帳戶,因為其成員可以修改架構,以控管整個目錄的結構和內容。
如需詳細資訊,請參閱什麼是 Active Directory 架構?
架構管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<root domain>-518 |
類型 | 通用 (如果網域處於原生模式),否則為全域 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 系統管理員 |
下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
Server Operators
伺服器操作員群組的成員可以管理網域控制站。 此群組只存在於網域控制站上。 根據預設,群組沒有成員。 伺服器操作員群組的成員可以採取下列動作:以互動方式登入伺服器、建立和刪除網路共用資源、啟動和停止服務、備份和還原檔案、格式化電腦的硬碟,以及關閉電腦。 此群組無法重新命名、刪除或移除。
根據預設,這個內建群組沒有成員。 群組可以存取網域控制站上的伺服器設定選項。 其成員資格是由服務管理員群組系統管理員和網域中的網域管理員群組,以及樹系根網域中的企業管理員群組所控制。 此群組中的成員無法變更任何系統管理群組成員資格。 此群組被視為服務管理員帳戶,因為其成員具有網域控制站的實體存取權。 此群組的成員可以執行備份和還原等維護工作,且可以變更安裝在網域控制站上的二進位檔。 請參閱下表中的群組預設使用者權限。
伺服器操作員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-549 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | Yes |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 允許本機登入:SeInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 變更系統時間:SeSystemTimePrivilege 變更時區:SeTimeZonePrivilege 強制從遠端系統關閉:SeRemoteShutdownPrivilege 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege |
儲存體複本管理員
儲存體複本管理員群組的成員可以完整且不受限制地存取儲存體複本的所有功能。 儲存體複本管理員群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-582 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
系統受控帳戶
系統受控帳戶群組的成員資格是由系統所管理。
系統受控帳戶群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-581 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 使用者 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
終端機伺服器授權伺服器
終端機伺服器授權伺服器群組的成員可以使用授權發行的相關資訊來更新 Active Directory 中的使用者帳戶。 此群組可用來追蹤及報告 TS 每個使用者的 CAL 使用量。 TS 每個使用者的 CAL 給予一位使用者從無限數量的用戶端電腦或裝置存取終端機伺服器執行個體的權利。 此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
如需此安全性群組的詳細資訊,請參閱終端機服務授權伺服器安全性群組設定。
終端機伺服器授權伺服器群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-561 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否可從預設容器放心地移出? | 無法移動 |
是否受到 AdminSDHolder 保護? | No |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
使用者
使用者群組的成員無法進行意外或刻意的系統範圍變更。 此群組的成員可以執行大部分的應用程式。 在初始安裝作業系統之後,唯一成員是已驗證使用者群組。 當電腦加入網域時,網域使用者群組會新增至電腦上的使用者群組。
使用者可以執行應用程式、使用本機和網路印表機、關閉電腦,以及鎖定電腦等工作。 使用者可以安裝只有在應用程式的安裝程式支援每個使用者安裝時才能使用的應用程式。 此群組無法重新命名、刪除或移除。
使用者群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
此安全性群組包含自 Windows Server 2008 以來的下列變更:
在 Windows Server 2008 R2 中,互動式已新增至預設成員清單。
在 Windows Server 2012 中,預設成員清單已從網域使用者變更為無。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-545 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | 已驗證的使用者 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | No |
預設使用者權限 | 無 |
Windows 授權存取
此群組的成員可以存取使用者物件上的計算權杖 GroupsGlobalAndUniversal 屬性。 某些應用程式具有在使用者帳戶物件或 AD DS 中電腦帳戶物件上讀取 token-groups-global-and-universal (TGGAU) 屬性的功能。 某些 Win32 函式可讓您更輕鬆地讀取 TGGAU 屬性。 讀取這個屬性或呼叫 API (函式) 的應用程式,如果呼叫的安全性內容沒有屬性的存取權,則讀取這個屬性的應用程式不會成功。 此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
Windows 授權存取群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-32-560 |
類型 | 內建本機 |
預設容器 | CN=Builtin, DC=<domain>, DC= |
預設成員 | Enterprise Domain Controllers |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | 無法移動 |
是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
預設使用者權限 | 無 |
WinRMRemoteWMIUsers_
在 Windows Server 2012 和 Windows 8 中,[共用] 索引標籤已新增至 [進階安全性設定] 使用者介面。 此索引標籤會顯示遠端檔案共用的安全性屬性。 若要檢視這項資訊,您必須具有下列權限和成員資格,具體取決於用來執行檔案伺服器的 Windows Server 版本。
WinRMRemoteWMIUsers_ 群組適用於預設 Active Directory 安全性群組中的 Windows Server 作業系統。
如果檔案共用裝載於執行所支援作業系統版本的伺服器上:
您必須是 WinRMRemoteWMIUsers__ 群組或 BUILTIN\Administrators 群組的成員。
您必須擁有檔案共用的讀取權限。
如果檔案共用裝載在執行 Windows Server 2012 之前 Windows Server 版本的伺服器上:
使用者必須是 BUILTIN\Administrators 群組的成員。
您必須擁有檔案共用的讀取權限。
在 Windows Server 2012 中,[拒絕存取時的協助] 功能會將已驗證使用者群組新增至本機 WinRMRemoteWMIUsers__群組。 啟用 [拒絕存取時的協助] 功能時,具有檔案共用讀取權限的所有已驗證使用者都可以檢視檔案共用權限。
注意
WinRMRemoteWMIUsers__ 群組允許遠端執行 Windows PowerShell 命令。 相反地,您通常會使用遠端管理使用者群組,讓使用者透過使用伺服器管理員主控台來管理伺服器。
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-21-<domain>-<variable RI> |
類型 | 網域本機 |
預設容器 | CN=Users, DC=<domain>, DC= |
預設成員 | 無 |
下列群組的預設成員 | 無 |
是否受到 AdminSDHolder 保護? | No |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理放心地委派給非服務系統管理員? | |
預設使用者權限 | 無 |