特殊标识组

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

了解用于 Windows 访问控制的 Windows Server 特殊标识组（有时称为安全组）。

什么是特殊标识组？

特殊标识组类似于 Active Directory 的“Users”和“BuiltIn”容器中列出的 Active Directory 安全组。 特殊标识组可以提供一种有效的方式来分配对网络中资源的访问权限。 通过使用特殊标识组，可以：

• 将用户权限分配给 Active Directory 中的安全组。

• 为安全组分配权限以访问资源。

特殊标识组在 Windows Server 中的工作原理

如果服务器运行的是本文开头“适用范围”中所示的 Windows Server 操作系统版本之一，则该服务器有多个特殊标识组。 这些特殊标识组没有可以修改的特定成员身份，但它们可以根据情况在不同时间表示不同的用户。

虽然可以将特定资源的权利和权限分配给特殊标识组，但无法查看或修改特殊标识组的成员身份。 组范围不适用于特殊标识组。 用户在登录或访问特定资源时会自动分配到特殊标识组。

有关 Active Directory 安全组和组范围的信息，请参阅 Active Directory 安全组。

默认特殊标识组

下面的列表描述了 Windows Server 中的默认特殊标识组：

• Anonymous Logon
• Attested key property
• Authenticated Users
• Authentication authority asserted identity
• 批处理
• Console logon
• Creator Group (CREATOR GROUP)
• Creator Owner
• Dialup
• 摘要式身份验证
• 企业域控制器
• 企业只读域控制器
• 所有人
• Fresh Public Key identity
• 交互式
• IUSR
• 密钥信任
• Local Service
• LocalSystem
• MFA key property
• Network
• Network Service
• NTLM 身份验证
• 其他组织
• Owner Rights
• Principal Self
• Proxy
• Read-only Domain Controller
• Remote Interactive Logon
• Restricted
• SChannel Authentication
• 服务
• Service asserted identity
• 终端服务器用户
• This Organization
• Window Manager\Window Manager Group

匿名登录

通过匿名登录访问系统的任何用户都具有 Anonymous Logon 标识。 此标识允许匿名访问资源，例如访问公司服务器上发布的网页。 默认情况下，Anonymous Logon 组不是 Everyone 组的成员。

属性	值
已知 SID/RID	S-1-5-7
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Attested key property

表示密钥信任对象具有证明属性的安全标识符 (SID)。

属性	值
已知 SID/RID	S-1-18-6
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

经过身份验证的用户

通过登录过程访问系统的任何用户都具有 Authenticated Users 标识。 此标识允许访问域内的共享资源，例如组织中所有工作人员都应可访问的共享文件夹中的文件。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-11
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	通过网络访问此计算机：SeNetworkLogonRight 将工作站添加到域：SeMachineAccountPrivilege 跳过遍历检查：SeChangeNotifyPrivilege

身份验证机构断言的标识

SID，表示客户端的标识由身份验证机构根据拥有客户端凭据的证明进行断言。

属性	值
已知 SID/RID	S-1-18-1
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Batch

作为批处理作业或通过批处理队列访问系统的任何用户或进程都具有 Batch 标识。 此标识允许批处理作业运行计划任务，例如删除临时文件的夜间清理作业。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-3
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Console logon

包括登录到物理控制台的用户的组。 此 SID 可用于实现安全策略，这些策略根据用户是否已被授予对控制台的物理访问权限来授予不同的权限。

属性	值
已知 SID/RID	S-1-2-1
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Creator Group (CREATOR GROUP)

创建文件或目录的人是此特殊标识组的成员。 Windows Server 操作系统使用此标识自动向文件或目录的创建者授予访问权限。

占位符 SID 在可继承的访问控制项 (ACE) 中创建。 继承 ACE 时，系统会将此 SID 替换为对象当前所有者的主要组的 SID。 主要组仅由 POSIX 子系统使用。

属性	值
已知 SID/RID	S-1-3-1
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Creator Owner

创建文件或目录的人是此特殊标识组的成员。 Windows Server 操作系统使用此标识自动向文件或目录的创建者授予访问权限。 占位符 SID 在可继承的 ACE 中创建。 继承 ACE 时，系统会将此 SID 替换为对象当前所有者的 SID。

属性	值
已知 SID/RID	S-1-3-0
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Dialup (DIALUP)

任何通过拨号连接访问系统的用户都具有 Dialup 标识。 此标识将拨号用户与其他类型的经过身份验证的用户区分开。

属性	值
已知 SID/RID	S-1-5-1
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

摘要式身份验证

属性	值
已知 SID/RID	S-1-5-64-21
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

企业域控制器

该组包含 Active Directory 林中的所有域控制器。 具有企业范围角色和职责的域控制器具有 Enterprise Domain Controllers 标识。 此标识允许域控制器通过使用可传递信任在企业中执行某些任务。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-9
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	通过网络访问此计算机：SeNetworkLogonRight 允许本地登录：SeInteractiveLogonRight

企业只读域控制器

该组包含 Active Directory 林中的所有域控制器。 具有企业范围角色和职责的域控制器具有 Enterprise Domain Controllers 标识。 除帐户密码外，只读域控制器 (RODC) 拥有可写域控制器拥有的所有 Active Directory 对象和属性。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-21-<RootDomain>
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

所有人

所有交互式、网络、拨号和经过身份验证的用户都是 Everyone 组的成员。 此特殊标识组提供对系统资源的广泛访问。 当用户登录到网络时，该用户会自动添加到 Everyone 组中。 成员身份由操作系统控制。

在运行 Windows 2000 及更早版本的计算机上，Everyone 组将 Anonymous Logon 组作为默认成员包含在内。 从 Windows Server 2003 开始，Everyone 组仅包含“Authenticated Users”和“Guest”。 默认情况下，该组不再包括 Anonymous Logon 组。 要更改 Everyone 组设置以使其包括 Anonymous Logon 组，请在注册表编辑器中转到 “Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项并将“everyoneincludesanonymous”DWORD 的值设置为“1”。

属性	值
已知 SID/RID	S-1-1-0
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	从网络访问此计算机：SeNetworkLogonRight 跳过遍历检查：SeChangeNotifyPrivilege

全新公钥标识

SID，表示客户端的标识由身份验证机构根据当前拥有客户端公钥凭据的证明进行断言。

属性	值
已知 SID/RID	S-1-18-3
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

交互

登录到本地系统的任何用户都具有 Interactive 标识。 此标识仅允许本地用户访问资源。 当用户访问其当前登录的计算机上的特定资源时，该用户会自动添加到 Interactive 组。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-4
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

IUSR

启用匿名身份验证时，Internet Information Services (IIS) 默认使用此帐户。

属性	值
已知 SID/RID	S-1-5-17
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

密钥信任

一个 SID，表示客户端标识基于使用密钥信任对象的公钥凭据的所有权证明。

属性	值
已知 SID/RID	S-1-18-4
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Local Service

Local Service 帐户类似于 Authenticated User 帐户。 Local Service 帐户的成员与 Users 组的成员具有相同级别的资源和对象访问权限。 如果各个服务或进程受到危害，则有限的访问权限将有助于保护系统。 作为 Local Service 帐户运行的服务使用匿名凭据作为 NULL 会话访问网络资源。 该帐户的名称为 NT AUTHORITY\LocalService。 此帐户没有密码。

属性	值
已知 SID/RID	S-1-5-19
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	调整进程的内存配额：SeIncreaseQuotaPrivilege 跳过遍历检查：SeChangeNotifyPrivilege 更改系统时间：SeSystemtimePrivilege 更改时区：SeTimeZonePrivilege 创建全局对象：SeCreateGlobalPrivilege 生成安全审核：SeAuditPrivilege 身份验证后模拟客户端：SeImpersonatePrivilege 替换进程级别标记：SeAssignPrimaryTokenPrivilege

LocalSystem

LocalSystem 帐户是操作系统使用的服务帐户。 LocalSystem 帐户是一个功能强大的帐户，可以完全访问系统并充当网络上的计算机。 如果某个服务登录到域控制器上的 LocalSystem 帐户，则该服务可以访问整个域。 某些服务默认配置为登录到 LocalSystem 帐户。 不要更改默认服务设置。 该帐户的名称为 LocalSystem。 此帐户没有密码。

属性	值
已知 SID/RID	S-1-5-18
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

MFA key property

一个 SID，表示密钥信任对象具有多重身份验证 (MFA) 属性。

属性	值
已知 SID/RID	S-1-18-5
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

网络

该组隐式包括所有通过网络连接登录的用户。 任何通过网络访问系统的用户都具有 Network 标识。 此标识仅允许远程用户访问资源。 当用户通过网络访问特定资源时，该用户会自动添加到 Network 组中。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-2
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Network Service

Network Service 帐户类似于 Authenticated User 帐户。 Network Service 帐户的成员对资源和对象的访问权限与 Users 组的成员相同。 如果各个服务或进程受到危害，则有限的访问权限将有助于保护系统。 以 Network Service 帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。 帐户名是 NT AUTHORITY\NetworkService。 此帐户没有密码。

属性	值
已知 SID/RID	S-1-5-20
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	调整进程的内存配额：SeIncreaseQuotaPrivilege 跳过遍历检查：SeChangeNotifyPrivilege 创建全局对象：SeCreateGlobalPrivilege 生成安全审核：SeAuditPrivilege 身份验证后模拟客户端：SeImpersonatePrivilege 替换进程级别标记：SeAssignPrimaryTokenPrivilege

NTLM 身份验证

属性	值
已知 SID/RID	S-1-5-64-10
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

其他组织

该组隐式包括所有通过拨号连接登录到系统的用户。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-1000
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Owner Rights

Owner Rights 组表示对象的当前所有者。 当携带此 SID 的 ACE 应用于对象时，系统将忽略对象所有者的隐式 READ_CONTROL 和 WRITE_DAC 权限。

属性	值
已知 SID/RID	S-1-3-4
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Principal Self

此标识是 Active Directory 中用户、组或计算机对象的 ACE 中的占位符。 向 Principal Self 授予权限时，将权限授予对象所表示的安全主体。 在访问检查期间，操作系统会将 Principal Self 的 SID 替换为对象所表示的安全主体的 SID。

属性	值
已知 SID/RID	S-1-5-10
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

代理

标识 SECURITY_NT_AUTHORITY 代理。

属性	值
已知 SID/RID	S-1-5-8
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

只读域控制器

该组包括林中对 Active Directory 数据库具有只读权限的所有 RODC。 它允许在物理安全性稀缺或无法保证时部署域控制器。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-21-<domain>
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

注意

在林中创建 RODC 帐户时，会自动创建 Denied RODC Password Replication 组。 不能在“Denied RODC Password Replication”组中复制密码。

Remote Interactive Logon

此标识表示当前使用远程桌面协议连接登录到计算机的所有用户。 该组是 Interactive 组的子集。 包含远程交互式登录 SID 的访问令牌也包含交互式 SID。

属性	值
已知 SID/RID	S-1-5-14
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

受限制

具有受限制功能的用户和计算机具有 Restricted 标识。 此标识组由在受限制安全上下文中运行的进程使用，例如使用 RunAs 服务运行应用程序。 当代码在受限制安全级别运行时，受限制 SID 将添加到用户的访问令牌中。

属性	值
已知 SID/RID	S-1-5-12
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

SChannel Authentication

属性	值
已知 SID/RID	S-1-5-64-14
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

服务

任何访问系统的服务都具有 Service 标识。 此标识组包括作为服务登录的所有安全主体。 此标识授予对 Windows Server 服务正在运行的进程的访问权限。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-6
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	创建全局对象：SeCreateGlobalPrivilege 身份验证后模拟客户端：SeImpersonatePrivilege

Service asserted identity

一个 SID，表示客户端标识由服务断言。

属性	值
已知 SID/RID	S-1-18-2
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

终端服务器用户

通过终端服务访问系统的任何用户都具有 Terminal Server User 标识。 此标识允许用户访问终端服务器应用程序并使用终端服务器服务执行其他必要任务。 成员身份由操作系统控制。

属性	值
已知 SID/RID	S-1-5-13
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

This Organization

属性	值
已知 SID/RID	S-1-5-15
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	无

Window Manager\Window Manager Group

属性	值
已知 SID/RID	S-1-5-90
对象类	外部安全主体
Active Directory 中的默认位置	CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
默认用户权限	跳过遍历检查：SeChangeNotifyPrivilege 增加进程工作集：SeIncreaseWorkingSetPrivilege

另请参阅

• Active Directory 安全组

• 安全主体

• 访问控制概述