特殊身分識別群組
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
了解用於 Windows 存取控制的 Windows Server 特殊身分識別群組 (有時候稱為安全性群組)。
什麼是特殊身分識別群組?
特殊身分識別群組類似於 Active Directory 使用者和內建容器中列出的 Active Directory 安全性群組。 特殊身分識別群組可以提供有效率的方式,以指派對您網路中資源的存取權。 藉由使用特殊身分識別群組,您可以:
指派使用者權利給 Active Directory 中的安全性群組。
指派存取資源的權限給安全性群組。
特殊身分識別群組在 Windows Server 中的運作方式
如果伺服器正在執行本文開頭適用於中所顯示的其中一個 Windows Server 作業系統版本,伺服器就會有數個特殊身分識別群組。 這些特殊身分識別群組沒有您可以修改的特定成員資格,但是可以根據情況來代表不同時間的不同使用者。
雖然您可以將特定資源的權限指派給特殊身分識別群組,但是您無法檢視或修改特殊身分識別群組的成員資格。 群組範圍不適用於特殊身分識別群組。 當使用者登入或存取特定資源時,會自動指派給特殊身分識別群組。
如需 Active Directory 安全性群組和群組範圍的相關資訊,請參閱 Active Directory 安全性群組。
預設特殊身分識別群組
Windows Server 中的預設特殊身分識別群組會在下列清單中描述:
- 匿名登入
- 已證明金鑰屬性
- 已驗證的使用者
- 驗證授權單位判斷提示的身分識別
- Batch
- 主控台登入
- 建立者群組
- 建立者擁有者
- Dialup
- 摘要式驗證
- 企業網域控制站
- 企業唯讀網域控制站
- 所有人
- 全新公開金鑰身分識別
- Interactive
- IUSR
- 金鑰信任
- 本機服務
- LocalSystem
- MFA 金鑰屬性
- Network
- 網路服務
- NTLM 驗證
- 其他組織
- 擁有者權利
- 主體自我
- Proxy
- 唯讀網域控制站
- 遠端互動式登入
- Restricted
- SChannel 驗證
- 服務
- 服務判斷提示的身分識別
- 終端機伺服器使用者
- 此組織
- 視窗管理員\視窗管理員群組
匿名登入
透過匿名登入存取系統的任何使用者,都有 Anonymous Logon (匿名登入) 身分識別。 此身分識別允許匿名存取資源,例如在公司伺服器上發佈的網頁。 匿名登入群組預設不是 Everyone 群組的成員。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-7 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
已證明金鑰屬性
安全性識別碼 (SID),表示金鑰信任物件具有證明屬性。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-6 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
已驗證的使用者
透過登入程序存取系統的任何使用者,都有 Authenticated Users (已驗證的使用者) 身分識別。 此身分識別允許存取網域內的共用資源,例如應該可供組織中所有背景工作角色存取的共用資料夾中的檔案。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-11 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 從網路存取這台電腦:SeNetworkLogonRight 將工作站新增至網域:SeMachineAccountPrivilege 略過周遊檢查:SeChangeNotifyPrivilege |
驗證授權單位判斷提示的身分識別
SID,表示用戶端的身分識別是由驗證授權單位根據用戶端認證的擁有證明來判斷。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-1 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
Batch
以批次作業或透過批次佇列存取系統的任何使用者或程序都有 Batch (批次) 身分識別。 此身分識別可讓批次作業執行排程的工作,例如刪除暫存檔的夜間清除作業。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-3 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | none |
主控台登入
包含已登入實體主控台使用者的群組。 此 SID 可用來實作安全性原則,根據使用者是否已獲得授與主控台的實體存取權,授與不同的權限。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-2-1 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
建立者群組
建立檔案或目錄的人員是這個特殊身分識別群組的成員。 Windows Server 作業系統會使用此身分識別自動將存取權限授與檔案或目錄的建立者。
預留位置 SID 是在可繼承存取控制項目 (ACE) 中建立的。 繼承 ACE 時,系統會將此 SID 取代為物件目前擁有者之主要群組的 SID。 主要群組只能由 POSIX 子系統使用。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-3-1 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | none |
建立者擁有者
建立檔案或目錄的人員是這個特殊身分識別群組的成員。 Windows Server 作業系統會使用此身分識別自動將存取權限授與檔案或目錄的建立者。 預留位置 SID 是在可繼承 ACE 中建立的。 繼承 ACE 時,系統會將此 SID 取代為物件目前擁有者的 SID。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-3-0 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | none |
Dialup (DIALUP)
透過撥號連線存取系統的任何使用者,都有 Dialup (撥號) 身分識別。 此身分識別會區分撥號使用者與其他類型的已驗證使用者。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-1 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | none |
摘要式驗證
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-64-21 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | none |
Enterprise Domain Controllers
此群組包含 Active Directory 樹系中的所有網域控制站。 具有全企業角色和責任的網域控制站具有 Enterprise Domain Controllers (企業網域控制站) 身分識別。 此身分識別可讓網域控制站使用可轉移的信任,在企業中執行特定工作。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-9 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 從網路存取這台電腦:SeNetworkLogonRight 允許本機登入:SeInteractiveLogonRight |
企業唯讀網域控制站
此群組包含 Active Directory 樹系中的所有唯讀網域控制站 (RODC)。 企業 RODC 可以複寫 Active Directory 資料庫的較大子集,包括樹系中所有網域的通用類別目錄和唯讀網域分割區。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-21-<RootDomain>-498 |
| Object 類別 | 群組 |
| Active Directory 中的預設位置 | CN=Users, DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
每個人
所有互動式、網路、撥號和已驗證的使用者都是 Everyone 群組的成員。 此特殊身分識別群組可讓您廣泛存取系統資源。 當使用者登入網路時,便會自動新增至 Everyone 群組。 成員資格是由作業系統所控制。
在執行 Windows 2000 與更舊版本的電腦上,Everyone 群組包括 Anonymous Logon 群組作為預設成員。 從 Windows Server 2003 開始,Everyone 群組只包含 Authenticated Users and Guest。 此群組預設不再包含 Anonymous Logon。 若要將 Everyone 群組設定變更為包含 Anonymous Logon 群組,請在登錄編輯程式中移至 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 機碼,並且將 everyoneincludesanonymous DWORD 的值設定為 1。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-1-0 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege |
全新公開金鑰身分識別
SID,表示用戶端的身分識別是由驗證授權單位根據用戶端公開金鑰認證的目前擁有證明來判斷。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-3 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
互動式
任何登入本機系統的使用者都有 Interactive (互動式) 身分識別。 此身分識別只允許本機使用者存取資源。 當使用者存取目前所登入電腦的特定資源時,便會自動新增至 Interactive 群組。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-4 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
IUSR
啟用匿名驗證時,Internet Information Services (IIS) 預設會使用此帳戶。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-17 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
金鑰信任
SID,表示用戶端的身分識別是以使用金鑰信任物件擁有公開金鑰認證的證明為基礎。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-4 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
本機服務
本機服務帳戶類似於已驗證的使用者帳戶。 本機服務帳戶的成員具有與使用者群組成員相同的資源與物件存取層級。 如果個別服務或處理程序被盜用,此限制存取可保護您的系統。 以 [本機服務] 帳戶身分執行的服務會以含有匿名認證的 Null 工作階段來存取網路資源。 帳戶名稱為 NT AUTHORITY\LocalService。 此帳戶沒有密碼。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-19 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 變更系統時間:SeSystemtimePrivilege 變更時區:SeTimeZonePrivilege 建立全域物件:SeCreateGlobalPrivilege 產生安全性稽核:SeAuditPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 取代處理序層級權杖:SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem 帳戶是作業系統所使用的服務帳戶。 LocalSystem 帳戶是功能強大的帳戶,具有系統的完整存取權,並且作為網路上的電腦。 如果服務登入網域控制站上的 LocalSystem 帳戶,該服務可以存取整個網域。 某些服務預設會設定為登入 LocalSystem 帳戶。 請勿變更預設服務設定。 帳戶的名稱為 LocalSystem。 此帳戶沒有密碼。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-18 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
MFA 金鑰屬性
SID,表示金鑰信任物件具有多重要素驗證 (MFA) 屬性。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-5 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
網路
此群組會隱含包含透過網路連線登入的所有使用者。 透過網路存取系統的任何使用者都有 Network (網路) 身分識別。 此身分識別只允許遠端使用者存取資源。 當使用者透過網路存取特定資源時,便會自動新增至 Network 群組。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-2 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
網路服務
網路服務帳戶類似於已驗證的使用者帳戶。 網路服務帳戶的成員具有與使用者群組成員相同的資源與物件存取層級。 如果個別服務或處理程序被盜用,此限制存取可保護您的系統。 以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路資源。 帳戶名稱為 NT AUTHORITY\NetworkService。 此帳戶沒有密碼。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-20 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 建立全域物件:SeCreateGlobalPrivilege 產生安全性稽核:SeAuditPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 取代處理序層級權杖:SeAssignPrimaryTokenPrivilege |
NTLM 驗證
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-64-10 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
其他組織
此群組會隱含包含透過撥號連線登入系統的所有使用者。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-1000 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
擁有者權利
擁有者權利群組代表物件的目前擁有者。 當攜帶此 SID 的 ACE 套用至物件時,系統會忽略物件擁有者的隱含 READ_CONTROL 和 WRITE_DAC 權限。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-3-4 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
主體自我
此身分識別是 Active Directory 中使用者、群組或電腦物件上 ACE 的預留位置。 當您將權限授與主體自我時,您會將權限授與物件所代表的安全性主體。 在存取檢查期間,作業系統會將主體自我的 SID 取代為物件所代表安全性主體的 SID。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-10 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
Proxy
識別 SECURITY_NT_AUTHORITY Proxy。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-8 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
Read-only Domain Controllers
此群組包含對 Active Directory 資料庫擁有唯讀權限之網域中的所有 RODC。 除了帳戶密碼以外,RODC 還會保存可寫入網域控制站保存的所有 Active Directory 物件和屬性。 當實體安全性稀缺或不保證時,允許網域控制站部署。 RODC 是這個群組的明確成員。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-21-<domain>-521 |
| Object 類別 | 群組 |
| Active Directory 中的預設位置 | CN=Users, DC=<rootDomain> |
| 預設使用者權限 | 無 |
注意
在樹系中建立 RODC 帳戶時,拒絕的 RODC 密碼複寫群組會自動建立。 無法在拒絕的 RODC 密碼複寫群組中複寫密碼。
遠端互動式登入
此身分識別代表目前使用遠端桌面通訊協定連線登入電腦的所有使用者。 此群組是互動式群組的子集。 包含遠端互動式登入 SID 的存取權杖也包含互動式 SID。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-14 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
受限制
具有受限制功能的使用者和電腦具有 Restricted (受限制) 身分識別。 此身分識別群組是由在受限制的安全性內容中執行的程序使用,例如使用 RunAs 服務執行應用程式。 當程式碼在受限制的安全性層級執行時,會將 Restricted SID 新增至使用者的存取權杖。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-12 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
SChannel 驗證
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-64-14 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
服務
存取系統的任何服務都有 Service (服務) 身分識別。 此身分識別群組包含所有登入作為服務的安全性主體。 此身分識別會授與 Windows Server 服務正在執行之程序的存取權。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-6 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 建立全域物件:SeCreateGlobalPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege |
服務判斷提示的身分識別
SID,表示用戶端的身分識別是由服務判斷提示。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-18-2 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
終端機伺服器使用者
透過終端機服務存取系統的任何使用者,都有 Terminal Server User (終端機伺服器使用者) 身分識別。 此身分識別可讓使用者存取終端機伺服器應用程式,並使用終端機伺服器服務執行其他必要工作。 成員資格是由作業系統所控制。
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-13 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
This Organization
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-15 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 無 |
視窗管理員\視窗管理員群組
| 屬性 | 值 |
|---|---|
| 已知的 SID/RID | S-1-5-90 |
| Object 類別 | 外部安全性主體 |
| Active Directory 中的預設位置 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 預設使用者權限 | 略過周遊檢查:SeChangeNotifyPrivilege 增加處理程序工作集:SeIncreaseWorkingSetPrivilege |