附录 B:Active Directory 中有权限的帐户和组
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
附录 B:Active Directory 中有权限的帐户和组
Active Directory 中的“特权”帐户和组是那些被授予强大权限、特权和许可的帐户和组,这使他们可以在 Active Directory 和加入域的系统上执行几乎任何操作。 本附录首先讨论权限、特权和许可,然后讨论有关 Active Directory 中“最高特权”帐户和组(即功能最强大的帐户和组)的信息。
除了权限之外,还提供了有关 Active Directory 中的内置和默认帐户及组的信息。 虽然用于保护最高特权帐户和组的特定配置建议作为单独的附录提供,但本附录提供的背景信息可帮助你确定应重点保护的用户和组。 你应该这样做,因为攻击者可以利用这些信息来入侵甚至破坏 Active Directory 安装。
Active Directory 中的权限、特权和许可
权限、许可和特权之间的区别可能令人困惑和矛盾,即使在 Microsoft 提供的文档中也是如此。 本部分介绍了此文档中使用的每一个术语的一些特征。 对于其他 Microsoft 文档,不应将这些说明视为权威性说明,因为它可能会以不同的方式使用这些术语。
权限和特权
权限和特权实际上是授予安全主体(如用户、服务、计算机或组)的相同系统范围的功能。 在 IT 专业人员通常使用的界面中,这些术语通常被称为“权限”或“用户权限”,并且通常由组策略对象分配。 以下屏幕截图显示一些可分配给安全主体的最常见的用户权限(它代表 Windows Server 2012 域中的默认域控制器 GPO)。 其中一些权限适用于 Active Directory,(例如“启用受信任的计算机和用户帐户以进行委派”用户权限),而其他权限则适用于 Windows 操作系统(例如“更改系统时间”)。
在组策略对象编辑器等界面中,所有这些可分配的功能都被统称为用户权限。 然而,实际上,一些用户权限以编程方式称为权限,而其他用户权限以编程方式称为特权。 表 B-1:用户权限和特权提供了一些最常见的可分配用户权限及其编程常量。 虽然组策略和其他界面将所有这些内容都称为用户权限,但有些内容以编程方式标识为权限,而另一些则被定义为特权。
有关下表中列出的每项用户权限的详细信息,请使用表中的链接或参阅 Microsoft TechNet 站点上针对 Windows Server 2008 R2 的威胁和漏洞缓解指南中的威胁和对策指南:用户权限。 有关适用于 Windows Server 2008 的信息,请参阅 Microsoft TechNet 站点上威胁和漏洞缓解文档中的用户权限。 在撰写本文档时,Windows Server 2012 的相应文档尚未发布。
注意
就本文档而言,除非另有说明,否则术语“权限”和“用户权限”用于标识权限和特权。
表 B-1:用户权限和特权
| 组策略中的用户权限 | 常量名称 |
|---|---|
| 以受信任调用方身份访问凭据管理器 | SeTrustedCredManAccessPrivilege |
| 从网络访问此计算机 | SeNetworkLogonRight |
| 以操作系统的方式操作 | SeTcbPrivilege |
| 将工作站添加到域 | SeMachineAccountPrivilege |
| 调整进程的内存配额 | SeIncreaseQuotaPrivilege |
| 允许本地登录 | SeInteractiveLogonRight |
| 允许通过终端服务登录 | SeRemoteInteractiveLogonRight |
| 备份文件和目录 | SeBackupPrivilege |
| 绕过遍历检查 | SeChangeNotifyPrivilege |
| 更改系统时间 | SeSystemtimePrivilege |
| 更改时区 | SeTimeZonePrivilege |
| 创建页面文件 | SeCreatePagefilePrivilege |
| 创建令牌对象 | SeCreateTokenPrivilege |
| 创建全局对象 | SeCreateGlobalPrivilege |
| 创建永久共享对象 | SeCreatePermanentPrivilege |
| 创建符号链接 | SeCreateSymbolicLinkPrivilege |
| 调试程序 | SeDebugPrivilege |
| 拒绝从网络访问此计算机 | SeDenyNetworkLogonRight |
| 拒绝以批处理作业身份登录 | SeDenyBatchLogonRight |
| 拒绝以服务身份登录 | SeDenyServiceLogonRight |
| 拒绝本地登录 | SeDenyInteractiveLogonRight |
| 拒绝通过终端服务登录 | SeDenyRemoteInteractiveLogonRight |
| 支持信任计算机和用户帐户以执行委派 | SeEnableDelegationPrivilege |
| 强制从远程系统关闭 | SeRemoteShutdownPrivilege |
| 生成安全审核 | SeAuditPrivilege |
| 身份验证后模拟客户端 | SeImpersonatePrivilege |
| 增加进程工作集 | SeIncreaseWorkingSetPrivilege |
| 提高计划优先级 | SeIncreaseBasePriorityPrivilege |
| 加载和卸载设备驱动程序 | SeLoadDriverPrivilege |
| 锁定内存中的页面 | SeLockMemoryPrivilege |
| 以批处理作业身份登录 | SeBatchLogonRight |
| 以服务身份登录 | SeServiceLogonRight |
| 管理审核和安全日志 | SeSecurityPrivilege |
| 修改对象标签 | SeRelabelPrivilege |
| 修改固件环境值 | SeSystemEnvironmentPrivilege |
| 执行卷维护任务 | SeManageVolumePrivilege |
| 配置文件单一进程 | SeProfileSingleProcessPrivilege |
| 配置文件系统性能 | SeSystemProfilePrivilege |
| 从扩展坞中移除计算机 | SeUndockPrivilege |
| 替换进程级令牌 | SeAssignPrimaryTokenPrivilege |
| 还原文件和目录 | SeRestorePrivilege |
| 关闭系统 | SeShutdownPrivilege |
| 同步目录服务数据 | SeSyncAgentPrivilege |
| 获取文件或其他对象的所有权 | SeTakeOwnershipPrivilege |
权限
权限是适用于安全对象(如文件系统、注册表、服务和 Active Directory 对象)的访问控制。 每个安全对象都有一个关联的访问控制列表 (ACL),其中包含授予或拒绝安全主体(用户、服务、计算机或组)对对象执行各种操作的功能的访问控制条目 (ACE)。 例如,Active Directory 中许多对象的 ACL 都包含 ACE,该 ACE 允许经过身份验证的用户读取有关对象的一般信息,但不授予他们读取敏感信息或更改对象的功能。 除了每个域的内置来宾帐户外,登录并由 Active Directory 林或受信任林中的域控制器进行身份验证的每个安全主体默认情况下都会将经过身份验证的用户安全标识符 (SID) 添加到其访问令牌中。 因此,无论是用户、服务还是计算机帐户尝试读取域中用户对象的一般属性,读取操作都会成功。
如果安全主体尝试访问某个对象,而该对象未定义 ACE 且包含主体访问令牌中存在的 SID,则该主体无法访问该对象。 此外,如果某个对象的 ACL 中的 ACE 包含与用户访问令牌匹配的 SID 的拒绝条目,则“拒绝”ACE 通常会替代冲突的“允许”ACE。 有关 Windows 中访问控制的详细信息,请参阅 MSDN 网站上的访问控制。
在本文档中,许可是指在安全对象上授予或拒绝安全主体的功能。 每当用户权限与许可之间存在冲突时,通常以用户权限为准。 例如,如果 Active Directory 中的某个对象配置了 ACL,该 ACL 拒绝管理员对该对象的所有读写访问权限,则作为域管理员组成员的用户将无法查看有关该对象的详细信息。 但是,由于管理员组被授予了“获取对文件或其他对象的所有权”用户权限,因此用户只需获取对相关对象的所有权,然后重写对象的 ACL,即可授予管理员对该对象的完全控制。
正是出于此原因,本文档鼓励你避免使用功能强大的帐户和组进行日常管理,而不是试图限制帐户和组的功能。 无法有效地阻止有权访问功能强大的凭据的确定用户使用这些凭据来获取对任何安全资源的访问权限。
内置特权帐户和组
Active Directory 旨在促进委派管理和分配权限和许可时的最小特权原则。 默认情况下,在 Active Directory 域中拥有帐户的“常规”用户能够读取目录中存储的大部分数据,但只能更改目录中非常有限的一组数据。 需要额外特权的用户可以被授予目录中内置的各种特权组中的成员身份,以便他们可以执行与其角色相关的特定任务,但无法执行与其职责无关的任务。
Active Directory 中存在三个内置组,这些组摆阔目录中的最高特权组,以及第四个组,即架构管理员 (SA) 组:
如果滥用架构管理员 (SA) 组拥有的特权,则可能会损坏或破坏整个 Active Directory 林,但此组的功能比 EA、DA 和 BA 组更加受限。
除了这四个组之外,Active Directory 中还有许多额外的内置和默认帐户及组,每个帐户和组都被授予了允许执行特定管理任务的权限和许可。 虽然本附录没有对 Active Directory 中的每个内置组或默认组进行详尽的讨论,但它确实提供了最有可能在安装中看到的组和帐户的表。
例如,如果将 Microsoft Exchange Server 安装到 Active Directory 林中,则可能会在域的内置和用户容器中创建其他帐户和组。 本附录仅描述了基于本机角色和功能在 Active Directory 的内置和用户容器中创建的组和帐户。 不包括通过安装企业软件创建的帐户和组。
Enterprise Admins
企业管理员 (EA) 组位于目录林根级域中,默认情况下,它是林中每个域中内置管理员组的成员。 目录林根级域中的内置管理员帐户是 EA 组的唯一默认成员。 EA 被授予允许它们影响林范围的更改的权限和许可。 这些更改会影响林中的所有域,例如添加或删除域、建立林信任或提高林功能级别。 在经过精心设计并实现的委派模型中,仅当首次构造林或进行某些林范围的更改(例如建立出站林信任)时,才需要 EA 成员身份。
默认情况下,EA 组位于目录林根级域中的用户容器中,它是一个通用安全组,除非目录林根级域在 Windows 2000 Server 混合模式下运行,在这种情况下该组是一个全局安全组。 虽然有些权限被直接授予了 EA 组,但该组的许多权限实际上是由 EA 组继承的,因为它是林中每个域中的管理员组的成员。 企业管理员在工作站或成员服务器上没有默认权限。
Domain Admins
林中的每个域都有自己的域管理员 (DA) 组,该组是该域的内置管理员 (BA) 组的成员,也是加入该域的每台计算机上的本地管理员组的成员。 域的 DA 组的唯一默认成员是该域的内置管理员帐户。
DA 在其域中无所不能,而 EA 只具有林范围的特权。 在经过精心设计并实现的委派模型中,只有在紧急情况下才需要 DA 成员身份,在这种情况下,需要在域中的每台计算机上具有高级别特权的帐户,或者必须进行某些域范围的更改。 尽管本机 Active Directory 委派机制确实允许委派,可以在紧急情况下使用 DA 帐户,但构建有效的委派模型可能很耗时,许多组织使用第三方应用程序来加快该过程。
DA 组是位于域的用户容器中的全局安全组。 林中的每个域都有一个 DA 组,DA 组的唯一默认成员是域的内置管理员帐户。 由于域的 DA 组嵌套在域的 BA 组和每个加入域的系统的本地管理员组中,因此 DA 不仅拥有仅授予域管理员的权限,而且还将继承授予域的管理员组和加入域的所有系统上的本地管理员组的所有权限和许可。
Administrators
内置管理员 (BA) 组是域内置容器中的域本地组,DA 和 EA 嵌套在该容器中,该组被授予了目录和域控制器上的许多直接权限和许可。 但域的管理员组对成员服务器或工作站没有任何特权。 已加入域的计算机的本地管理员组中的成员身份是授予本地特权的位置;在所讨论的组中,默认情况下只有 DA 是所有已加入域的计算机的本地管理员组的成员。
管理员组是域内置容器中的域本地组。 默认情况下,每个域的 BA 组都包含本地域的内置管理员帐户、本地域的 DA 组和目录林根级域的 EA 组。 Active Directory 和域控制器上的许多用户权限都仅授予管理员组,而不是授予 EA 或 DA。 域的 BA 组被授予对大多数 Directory 对象的完全控制权限,并且可以获取对 Directory 对象的所有权。 尽管 EA 和 DA 组在林和域中被授予某些特定于对象的权限,但组的大部分功能实际上是从它们在 BA 组中的成员身份“继承”而来的。
注意
尽管这些是这些特权组的默认配置,但三个组中的任何一个组的成员都可以操作目录来获取其他任何组中的成员身份。 在某些情况下,实现这一点并不难,而在其他情况下则比较困难,但从潜在特权的角度来看,所有三个组都应被视为实际等同。
Schema Admins
架构管理员 (SA) 组是目录林根级域中的一个通用组,并且仅将该域的内置管理员帐户作为默认成员,这类似于 EA 组。 尽管 SA 组中的成员身份可以允许攻击者入侵作为整个 Active Directory 林框架的 Active Directory 架构,但 SA 几乎没有超出该架构的默认权限和许可。
你应该仔细管理和监视 SA 组中的成员,但在某些方面,该组比前面介绍的三个最高特权组“特权更低”,因为其特权范围非常狭窄;也就是说,除了架构之外,SA 没有任何管理权限。
Active Directory 中的其他内置组和默认组
为了便于在目录中委派管理,Active Directory 随附各种已被授予特定权限和许可的内置组和默认组。 下表简要介绍了这些组。
下表列出了 Active Directory 中的内置组和默认组。 默认情况下,两个组都存在;但是,内置组(默认情况下)位于 Active Directory 的内置容器中,而默认组(默认情况下)位于 Active Directory 的用户容器中。 内置容器中的组都是域本地组,而用户容器中的组除了是三个单独的用户帐户(管理员、来宾和 Krbtgt)之外,还是域本地组、全局组和通用组的混合组。
除了本附录前面介绍的最高特权组之外,一些内置和默认帐户及组还被授予了提升的特权且也应该受到保护,并且只能在安全的管理主机上使用。 这些组和帐户可以在“表 B-1:Active Directory 中的内置和默认组及帐户”中的阴影行中找到。 由于其中一些组和帐户被授予了可能被滥用来入侵 Active Directory 或域控制器的权限和许可,因此它们获得了额外的保护,如附录 C:Active Directory 中受保护的帐户和组中所述。
表 B-1:Active Directory 中的内置和默认帐户和组
| 帐户或组 | 默认容器、组范围和类型 | 说明和默认用户权限 |
|---|---|---|
| 访问控制协助操作员(Windows Server 2012 中的 Active Directory) | 内置容器 域本地安全组 |
此组的成员可以远程查询计算机上资源的授权属性和权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Account Operators | 内置容器 域本地安全组 |
成员可以管理域用户和组帐户。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Administrator 帐户 | 用户容器 非组 |
用于管理域的内置帐户。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 为进程调整内存配额 允许本地登录 允许通过远程桌面服务登录 备份文件和目录 绕过遍历检查 更改系统时间 更改时区 创建页面文件 创建全局对象 创建符号链接 调试程序 信任计算机和用户帐户可以执行委派 从远程系统强制关机 身份验证后模拟客户端 增加进程工作集 提高计划优先级 加载和卸载设备驱动程序 作为批处理作业登录 管理审核和安全日志 修改固件环境值 执行卷维护任务 配置文件单一进程 配置文件系统性能 从扩展坞中取出计算机 还原文件和目录 关闭系统 获得文件或其他对象的所有权 |
| 管理员组 | 内置容器 域本地安全组 |
管理员对域具有完全且不受限制的访问权限。 直接用户权限: 从网络访问此计算机 调整进程的内存配额 允许本地登录 允许通过远程桌面服务登录 备份文件和目录 绕过遍历检查 更改系统时间 更改时区 创建页面文件 创建全局对象 创建符号链接 调试程序 信任计算机和用户帐户可以执行委派 从远程系统强制关机 身份验证后模拟客户端 提高日程安排的优先级 加载和卸载设备驱动程序 作为批处理作业登录 管理审核和安全日志 修改固件环境值 执行卷维护任务 配置文件单一进程 配置文件系统性能 从扩展坞中取出计算机 还原文件和目录 关闭系统 获得文件或其他对象的所有权 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 允许的 RODC 密码复制组 | 用户容器 域本地安全组 |
此组中的成员可以将其密码复制到域中的所有只读域控制器。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Backup Operators | 内置容器 域本地安全组 |
备份操作员仅在出于备份或还原文件目的时才可以替代安全限制。 直接用户权限: 允许本地登录 备份文件和目录 作为批处理作业登录 还原文件和目录 关闭系统 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Cert Publishers | 用户容器 域本地安全组 |
允许此组的成员将证书发布到目录。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 证书服务 DCOM 访问 | 内置容器 域本地安全组 |
如果域控制器上安装了证书服务(不建议),则此组将向域用户和域计算机授予 DCOM 注册访问权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 可克隆域控制器(Windows Server 2012AD DS 中的 AD DS) | 用户容器 全局安全组 |
可以克隆此组中作为域控制器的成员。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Cryptographic Operators | 内置容器 域本地安全组 |
成员有权执行加密操作。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 调试程序用户 | 这既不是默认组,也不是内置组,但如果出现在 AD DS 中,则需要进行进一步调查。 | 调试程序用户组的存在表示系统上已在某个时间点安装了调试工具,无论是通过 Visual Studio、SQL、Office 还是其他需要并支持调试环境的应用程序。 此组允许对计算机进行远程调试访问。 如果此组存在于域级别,则表示在域控制器上安装了调试程序或包含调试程序的应用程序。 |
| 拒绝的 RODC 密码复制组 | 用户容器 域本地安全组 |
此组中的成员无法将其密码复制到域中的任何只读域控制器。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| DHCP Administrators | 用户容器 域本地安全组 |
此组的成员具有对 DHCP 服务器服务的管理访问权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| DHCP Users | 用户容器 域本地安全组 |
此组的成员具有对 DHCP 服务器服务的仅限查看权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Distributed COM Users | 内置容器 域本地安全组 |
该组的成员可以在此计算机上启动、激活和使用分布式 COM 对象。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| DnsAdmins | 用户容器 域本地安全组 |
此组的成员具有对 DNS 服务器服务的管理访问权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| DnsUpdateProxy | 用户容器 全局安全组 |
此组的成员是 DNS 客户端,允许该客户端代表自己无法执行动态更新的客户端执行动态更新。 此组的成员通常为 DHCP 服务器。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Domain Admins | 用户容器 全局安全组 |
域的指定管理员;域管理员是每台已加入域的计算机上的本地管理员组的成员,除了域的管理员组之外,它还接收授予本地管理员组的权限和许可。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 为进程调整内存配额 允许本地登录 允许通过远程桌面服务登录 备份文件和目录 绕过遍历检查 更改系统时间 更改时区 创建页面文件 创建全局对象 创建符号链接 调试程序 信任计算机和用户帐户可以执行委派 从远程系统强制关机 身份验证后模拟客户端 增加进程工作集 提高计划优先级 加载和卸载设备驱动程序 作为批处理作业登录 管理审核和安全日志 修改固件环境值 执行卷维护任务 配置文件单一进程 配置文件系统性能 从扩展坞中取出计算机 还原文件和目录 关闭系统 获得文件或其他对象的所有权 |
| Domain Computers | 用户容器 全局安全组 |
默认情况下,加入域的所有工作站和服务器都是该组的成员。 默认的直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 域控制器 | 用户容器 全局安全组 |
域中的所有域控制器。 注意:域控制器不是域计算机组的成员。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Domain Guests | 用户容器 全局安全组 |
域中的所有来宾 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 域用户 | 用户容器 全局安全组 |
域中的所有用户 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 企业管理员(仅存在于目录林根级域中) | 用户容器 通用安全组 |
企业管理员具有用于更改林范围内的配置设置的权限;企业管理员是每个域的管理员组的成员,并接收授予该组的权限和许可。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 为进程调整内存配额 允许本地登录 允许通过远程桌面服务登录 备份文件和目录 绕过遍历检查 更改系统时间 更改时区 创建页面文件 创建全局对象 创建符号链接 调试程序 信任计算机和用户帐户可以执行委派 从远程系统强制关机 身份验证后模拟客户端 增加进程工作集 提高计划优先级 加载和卸载设备驱动程序 作为批处理作业登录 管理审核和安全日志 修改固件环境值 执行卷维护任务 配置文件单一进程 配置文件系统性能 从扩展坞中取出计算机 还原文件和目录 关闭系统 获得文件或其他对象的所有权 |
| 企业只读域控制器 | 用户容器 通用安全组 |
此组包含林中所有只读域控制器的帐户。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Event Log Readers | 内置容器 域本地安全组 |
此组的成员可以读取域控制器上的事件日志。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Group Policy Creator Owners | 用户容器 全局安全组 |
此组的成员可以在域中创建和修改组策略对象。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Guest | 用户容器 非组 |
这是 AD DS 域中唯一没有将经过身份验证的用户 SID 添加到其访问令牌的帐户。 因此,此帐户将无法访问配置为授予对经过身份验证的用户组的访问权限的任何资源。 对于域来宾和来宾组的成员,此行为并非如此,但是这些组的成员确实将经过身份验证的用户 SID 添加到其访问令牌中。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 跳过遍历检查 增加进程工作集 |
| Guests | 内置容器 域本地安全组 |
默认情况下,来宾与用户组的成员具有相同的访问权限,但来宾帐户除外,如前所述,来宾帐户具有其他限制。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Hyper-V 管理员 (Windows Server 2012) | 内置容器 域本地安全组 |
此组的成员对 Hyper-V 的所有功能具有完全和无限制的访问权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| IIS_IUSRS | 内置容器 域本地安全组 |
Internet Information Services 使用的内置组。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 传入林信任生成器(仅存在于目录林根级域中) | 内置容器 域本地安全组 |
此组的成员可以为此林创建传入的单向信任。 (创建出站林信任是为企业管理员保留的。) 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Krbtgt | 用户容器 非组 |
Krbtgt 帐户是域中 Kerberos 密钥发行中心的服务帐户。 此帐户具有对存储在 Active Directory 中的所有帐户的凭据的访问权限。 默认情况下,禁用此帐户,永远不应启用 用户权限:不适用 |
| Network Configuration Operators | 内置容器 域本地安全组 |
此组的成员被授予允许他们管理网络功能配置的特权。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Performance Log Users | 内置容器 域本地安全组 |
此组的成员可以计划性能计数器的日志记录,启用跟踪提供程序,以及在本地和通过远程访问计算机来收集事件跟踪。 直接用户权限: 作为批处理作业登录 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Performance Monitor Users | 内置容器 域本地安全组 |
此组的成员可以在本地和远程访问性能计数器数据。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Pre-Windows 2000 Compatible Access | 内置容器 域本地安全组 |
此组的存在是为了实现低于 Windows 2000 Server 版本的操作系统的后向兼容性,它为成员提供了用于读取域中的用户和组信息的功能。 直接用户权限: 从网络访问此计算机 跳过遍历检查 继承的用户权限: 将工作站添加到域 增加进程工作集 |
| 打印操作员 | 内置容器 域本地安全组 |
此组的成员可以管理域打印机。 直接用户权限: 允许本地登录 加载和卸载设备驱动程序 关闭系统 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| RAS 和 IAS 服务器 | 用户容器 域本地安全组 |
此组中的服务器可以读取域中用户帐户的远程访问属性。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| RDS 终结点服务器 (Windows Server 2012) | 内置容器 域本地安全组 |
此组中的服务器运行虚拟机,并托管运行用户 RemoteApp 程序和个人虚拟机的会话。 需要在运行 RD 连接代理的服务器上填充此组。 部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要位于此组。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| RDS 管理服务器 (Windows Server 2012) | 内置容器 域本地安全组 |
此组中的服务器可以在运行远程桌面服务的服务器上执行日常管理操作。 需要在远程桌面服务部署中的所有服务器上填充此组。 运行 RDS 中央管理服务的服务器必须包含在此组中。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| RDS 远程访问服务器 (Windows Server 2012) | 内置容器 域本地安全组 |
此组中的服务器使 RemoteApp 程序和个人虚拟机的用户能够访问这些资源。 在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。 需要在运行 RD 连接代理的服务器上填充此组。 部署中使用的 RD 网关服务器和 RD Web 访问服务器需要位于此组。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 只读域控制器 | 用户容器 全局安全组 |
此组包含域中的所有只读域控制器。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Remote Desktop Users | 内置容器 域本地安全组 |
此组的成员被授予使用 RDP 远程登录的权限。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 远程管理用户 (Windows Server 2012) | 内置容器 域本地安全组 |
此组的成员可以通过管理协议(例如通过 Windows 远程管理服务的 WS-Management)访问 WMI 资源。 这仅适用于向用户授予访问权限的 WMI 命名空间。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Replicator | 内置容器 域本地安全组 |
支持域中的旧文件复制。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 架构管理员(仅存在于目录林根级域中) | 用户容器 通用安全组 |
架构管理员是仅在架构启用写入的情况下唯一可以对 Active Directory 架构进行修改的用户。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Server Operators | 内置容器 域本地安全组 |
此组的成员可以管理域控制器。 直接用户权限: 允许本地登录 备份文件和目录 更改系统时间 更改时区 从远程系统强制关机 还原文件和目录 关闭系统 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| Terminal Server License Servers | 内置容器 域本地安全组 |
此组的成员可以使用有关许可证颁发的信息更新 Active Directory 中的用户帐户,以便跟踪和报告 TS 每用户 CAL 使用情况 默认的直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| 用户 | 内置容器 域本地安全组 |
用户拥有允许他们读取 Active Directory 中的许多对象和属性的权限,但他们不能更改大部分数据。 用户不能进行意外或有意的系统范围更改,但可以运行大多数应用程序。 直接用户权限: 增加进程工作集 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 |
| Windows 授权访问组 | 内置容器 域本地安全组 |
此组的成员有权访问用户对象上的计算 tokenGroupsGlobalAndUniversal 属性 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | 用户容器 域本地安全组 |
此组的成员可以通过管理协议(例如通过 Windows 远程管理服务的 WS-Management)访问 WMI 资源。 这仅适用于向用户授予访问权限的 WMI 命名空间。 直接用户权限:无 继承的用户权限: 从网络访问此计算机 将工作站添加到域 跳过遍历检查 增加进程工作集 |