Learn about Windows Server special identity groups (sometimes called security groups) that are used for Windows access control.
什麼是特殊身分識別群組?
特殊身分識別群組類似於 Active Directory 使用者和內建容器中列出的 Active Directory 安全性群組。 特殊身分識別群組可以提供有效率的方式,以指派對您網路中資源的存取權。 藉由使用特殊身分識別群組,您可以:
指派使用者權利給 Active Directory 中的安全性群組。
指派存取資源的權限給安全性群組。
特殊身分識別群組在 Windows Server 中的運作方式
If a server is running one of the versions of the Windows Server operating system shown in Applies to at the beginning of this article, the server has several special identity groups. 這些特殊身分識別群組沒有您可以修改的特定成員資格,但根據情況而定,這些特殊身分識別群組可以在不同時間代表不同的使用者。
雖然您可以將特定資源的權限指派給特殊身分識別群組,但是您無法檢視或修改特殊身分識別群組的成員資格。 群組範圍不適用於特殊身分識別群組。 當使用者登入或存取特定資源時,會自動指派給特殊身分識別群組。
如需 Active Directory 安全性群組和群組範圍的相關資訊,請參閱 Active Directory 安全性群組。
預設特殊身分識別群組
下列各節說明 Windows Server 中的預設特殊身分識別群組。
- Anonymous Logon
- 已證明金鑰屬性
- Authenticated Users
- 驗證授權單位判斷提示的身分識別
- Batch
- Console logon
- Creator Group
- Creator Owner
- Dialup
- Digest Authentication
- 企業網域控制站
- 企業唯讀網域控制站
- Everyone
- 全新公開金鑰身分識別
- Interactive
- IUSR
- Key trust
- Local Service
- LocalSystem
- MFA 金鑰屬性
- Network
- Network Service
- NTLM Authentication
- Other Organization
- Owner Rights
- Principal Self
- Proxy
- 唯讀網域控制站
- 遠端互動式登入
- Restricted
- SChannel Authentication
- Service
- 服務判斷提示的身分識別
- 終端機伺服器使用者
- This Organization
- 視窗管理員\視窗管理員群組
Anonymous Logon
透過匿名登入存取系統的任何使用者,都有 Anonymous Logon (匿名登入) 身分識別。 此身分識別允許匿名存取資源,例如在公司伺服器上發佈的網頁。 匿名登入群組預設不是 Everyone 群組的成員。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-7 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
已證明金鑰屬性
安全性識別碼 (SID),表示金鑰信任物件具有證明屬性。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-6 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Authenticated Users
透過登入程序存取系統的任何使用者,都有 Authenticated Users (已驗證的使用者) 身分識別。 此身分識別允許存取網域內的共享資源,例如應該可供組織中所有員工存取的共享資料夾中的檔案。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-11 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
從網路存取這台電腦:SeNetworkLogonRight 將工作站新增至網域:SeMachineAccountPrivilege 略過周遊檢查:SeChangeNotifyPrivilege |
驗證授權單位判斷提示的身分識別
SID,表示用戶端的身分識別是由驗證授權單位根據用戶端認證的擁有證明來判斷。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-1 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Batch
以批次作業或透過批次佇列存取系統的任何使用者或程序都有 Batch (批次) 身分識別。 此身分識別可讓批次作業執行排程的工作,例如刪除暫存檔的夜間清除作業。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-3 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Console logon
包含已登入實體主控台使用者的群組。 此 SID 可用來實作安全性原則,根據使用者是否已獲得授與主控台的實體存取權,授與不同的權限。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-2-1 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Creator Group
建立檔案或目錄的人員是這個特殊身分識別群組的成員。 Windows Server 作業系統會使用此身分識別自動將存取權限授與檔案或目錄的建立者。
預留位置 SID 是在可繼承存取控制項目 (ACE) 中建立的。 繼承 ACE 時,系統會將此 SID 取代為物件目前擁有者之主要群組的 SID。 主要群組只能由 POSIX 子系統使用。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-3-1 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Creator Owner
建立檔案或目錄的人員是這個特殊身分識別群組的成員。 Windows Server 作業系統會使用此身分識別自動將存取權限授與檔案或目錄的建立者。 預留位置 SID 是在可繼承 ACE 中建立的。 繼承 ACE 時,系統會將此 SID 取代為物件目前擁有者的 SID。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-3-0 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Dialup
透過撥號連線存取系統的任何使用者,都有 Dialup (撥號) 身分識別。 此身分識別會區分撥號使用者與其他類型的已驗證使用者。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-1 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Digest Authentication
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-64-21 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
企業域控制器
此群組包含 Active Directory 樹系中的所有網域控制站。 具有全企業角色和責任的網域控制站具有 Enterprise Domain Controllers (企業網域控制站) 身分識別。 此身分識別可讓網域控制站使用可轉移的信任,在企業中執行特定工作。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-9 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
從網路存取這台電腦:SeNetworkLogonRight 允許本機登入:SeInteractiveLogonRight |
企業唯讀網域控制站
此群組包含 Active Directory 樹系中的所有唯讀網域控制站 (RODC)。 企業 RODC 可以複寫 Active Directory 資料庫的較大子集,包括樹系中所有網域的通用類別目錄和唯讀網域分割區。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-21-RootDomain-498<> |
| Object class | Group |
| Active Directory 中的預設位置 | CN=Users,DC=<forestRootDomain> |
| 預設使用者權限 | None |
Everyone
所有互動式、網路、撥號和已驗證的使用者都是 Everyone 群組的成員。 此特殊身分識別群組可讓您廣泛存取系統資源。 當使用者登入網路時,便會自動新增至 Everyone 群組。 成員資格是由作業系統所控制。
在執行 Windows 2000 和更早版本的電腦上,[所有人] 群組會以預設成員的形式包含匿名登入群組。 從 Windows Server 2003 開始,Everyone 群組只包含 Authenticated Users and Guest。 此群組預設不再包含 Anonymous Logon。 To change the Everyone group setting to include the Anonymous Logon group, in the Registry Editor, go to the Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa key and set the value of the everyoneincludesanonymous DWORD to 1.
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-1-0 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege |
全新公開金鑰身分識別
SID,表示用戶端的身分識別是由驗證授權單位根據用戶端公開金鑰認證的目前擁有證明來判斷。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-3 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Interactive
任何登入本機系統的使用者都有 Interactive (互動式) 身分識別。 此身分識別只允許本機使用者存取資源。 當使用者存取目前所登入電腦的特定資源時,便會自動新增至 Interactive 群組。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-4 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
IUSR
啟用匿名驗證時,Internet Information Services (IIS) 預設會使用此帳戶。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-17 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Key trust
SID,表示用戶端的身分識別是以使用金鑰信任物件擁有公開金鑰認證的證明為基礎。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-4 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Local Service
本機服務帳戶類似於已驗證的使用者帳戶。 本機服務帳戶的成員具有與使用者群組成員相同的資源與物件存取層級。 如果個別服務或處理程序被盜用,此限制存取可保護您的系統。 以 [本機服務] 帳戶身分執行的服務會以含有匿名認證的 Null 工作階段來存取網路資源。 帳戶名稱為 NT AUTHORITY\LocalService。 此帳戶沒有密碼。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-19 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 變更系統時間:SeSystemtimePrivilege 變更時區:SeTimeZonePrivilege 建立全域物件:SeCreateGlobalPrivilege 產生安全性稽核:SeAuditPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 取代處理序層級權杖:SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem 帳戶是作業系統所使用的服務帳戶。 LocalSystem 帳戶是功能強大的帳戶,具有系統的完整存取權,並且作為網路上的電腦。 如果服務登入網域控制站上的 LocalSystem 帳戶,該服務可以存取整個網域。 某些服務預設會設定為登入 LocalSystem 帳戶。 請勿變更預設服務設定。 帳戶的名稱為 LocalSystem。 此帳戶沒有密碼。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-18 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
MFA 金鑰屬性
SID,表示金鑰信任物件具有多重要素驗證 (MFA) 屬性。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-5 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Network
此群組會隱含包含透過網路連線登入的所有使用者。 透過網路存取系統的任何使用者都有 Network (網路) 身分識別。 此身分識別只允許遠端使用者存取資源。 當使用者透過網路存取特定資源時,便會自動新增至 Network 群組。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-2 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Network Service
網路服務帳戶類似於已驗證的使用者帳戶。 網路服務帳戶的成員具有與使用者群組成員相同的資源與物件存取層級。 如果個別服務或處理程序被盜用,此限制存取可保護您的系統。 以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路資源。 帳戶名稱為 NT AUTHORITY\NetworkService。 此帳戶沒有密碼。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-20 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 建立全域物件:SeCreateGlobalPrivilege 產生安全性稽核:SeAuditPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 取代處理序層級權杖:SeAssignPrimaryTokenPrivilege |
NTLM Authentication
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-64-10 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Other Organization
此群組會隱含包含透過撥號連線登入系統的所有使用者。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-1000 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Owner Rights
擁有者權利群組代表物件的目前擁有者。 當攜帶此 SID 的 ACE 套用至物件時,系統會忽略物件擁有者的隱含 READ_CONTROL 和 WRITE_DAC 權限。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-3-4 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Principal Self
此身分識別是 Active Directory 中使用者、群組或電腦物件上 ACE 的預留位置。 當您將權限授與主體自我時,您會將權限授與物件所代表的安全性主體。 在存取檢查期間,作業系統會將主體自我的 SID 取代為物件所代表安全性主體的 SID。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-10 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Proxy
識別 SECURITY_NT_AUTHORITY Proxy。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-8 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
唯讀域控制器
此群組包含對 Active Directory 資料庫擁有唯讀權限之網域中的所有 RODC。 除了帳戶密碼以外,RODC 還會保存可寫入網域控制站保存的所有 Active Directory 物件和屬性。 當實體安全性稀缺或不保證時,允許網域控制站部署。 RODC 是這個群組的明確成員。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-21-domain-521<> |
| Object class | Group |
| Active Directory 中的預設位置 | CN=Users,DC=<rootDomain> |
| 預設使用者權限 | None |
Note
在樹系中建立 RODC 帳戶時,拒絕的 RODC 密碼複寫群組會自動建立。 無法在拒絕的 RODC 密碼複寫群組中複寫密碼。
遠端互動式登入
此身分識別代表目前使用遠端桌面通訊協定連線登入電腦的所有使用者。 此群組是互動式群組的子集。 包含遠端互動式登入 SID 的存取權杖也包含互動式 SID。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-14 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Restricted
具有受限制功能的使用者和電腦具有 Restricted (受限制) 身分識別。 此身分識別群組是由在受限安全性環境中運行的程序使用,例如當您使用 RunAs 服務來執行應用程式時。 當程式碼在受限制的安全性層級執行時,會將 Restricted SID 新增至使用者的存取權杖。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-12 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
SChannel Authentication
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-64-14 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
Service
存取系統的任何服務都有 Service (服務) 身分識別。 此身分識別群組包含所有登入作為服務的安全性主體。 此身分識別會授與 Windows Server 服務正在執行之程序的存取權。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-6 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
建立全域物件:SeCreateGlobalPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege |
服務判斷提示的身分識別
SID,表示用戶端的身分識別是由服務判斷提示。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-18-2 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
終端機伺服器使用者
透過終端機服務存取系統的任何使用者,都有 Terminal Server User (終端機伺服器使用者) 身分識別。 此身分識別可讓使用者存取終端機伺服器應用程式,並使用終端機伺服器服務執行其他必要工作。 成員資格是由作業系統所控制。
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-13 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
This Organization
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-15 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | None |
視窗管理員\視窗管理員群組
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-90 |
| Object class | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 |
略過周遊檢查:SeChangeNotifyPrivilege 增加處理程序工作集:SeIncreaseWorkingSetPrivilege |