附錄 B︰Active Directory 中具特殊權限的帳戶和群組
附錄 B︰Active Directory 中具特殊權限的帳戶和群組
Active Directory 中的「特殊權限」帳戶和群組是授與強大權利、特殊權限和權限的帳戶,讓他們幾乎可在 Active Directory 和加入網域的系統上執行任何動作。 本附錄首先討論權利、特殊權限和權限,後面接著 Active Directory 中「最高特殊權限」帳戶和群組的相關資訊,也就是最強大的帳戶和群組。
除了其權利之外,也會提供 Active Directory 中內建和預設帳戶及群組的相關資訊。 雖然保護最高特殊權限帳戶和群組的特定組態建議是以個別附錄的形式提供,但本附錄提供背景資訊,可協助您識別您應該專注保護的使用者和群組。 建議您這樣做,因為攻擊者可利用這些使用者和群組進行入侵,甚至終結您的 Active Directory 安裝。
Active Directory 中的權利、特殊權限和權限
權利、特殊權限和權限之間的差異可能會令人感到困惑和矛盾,即使在 Microsoft 的文件內也一樣。 本節說明本文件中所使用的每個特性。 這些描述不應視為對於其他 Microsoft 文件具有權威性,因為文件中可能會以不同的方式使用這些詞彙。
權利和特殊權限
權利和特殊權限實際上是授與安全性主體的相同全系統功能,例如使用者、服務、電腦或群組。 在 IT 專業人員通常使用的介面中,這些通常稱為「權利」或「使用者權利」,且通常會由群組原則物件指派。 下列螢幕擷取畫面顯示一些可指派給安全性主體的最常見使用者權利 (其代表 Windows Server 2012 網域中的預設網域控制站 GPO)。 其中某些權利適用於 Active Directory,例如讓電腦及使用者帳戶受信賴,以進行委派使用者權利,而其他權利則適用於 Windows 作業系統,例如變更系統時間。
在群組原則物件編輯器等介面中,這些可指派的功能全都大致稱為使用者權利。 不過,實際上,某些使用者權利就程式設計方面稱為權利,而其他使用者權利則就程式設計方面稱為特殊權限。 表格 B-1:使用者權利和特殊權限提供一些最常見的可指派使用者權利及其程式設計常數。 雖然群組原則和其他介面會將這些介面全部稱為使用者權利,但有些則就程式設計方面識別為權利,而其他則定義為特殊權限。
如需下表所列每一個使用者權利的詳細資訊,請使用表格中的連結,或參閱 Microsoft TechNet 網站上 Windows Server 2008 R2 的安全威脅與弱點防護指南中的威脅和對策指南:使用者權利。 如需適用於 Windows Server 2008 的資訊,請參閱 Microsoft TechNet 網站上的安全威脅與弱點防護文件中的使用者權利。 截至本文件撰寫時間為止,尚未發佈 Windows Server 2012 的對應文件。
注意
為了本文件的目的,除非另有指定,否則會使用「權利」和「使用者權利」來識別權利和特殊權限。
表格 B-1:使用者權利和特殊權限
群組原則中的使用者權利 | 常數的名稱 |
---|---|
存取認證管理員做為信任的呼叫者 | SeTrustedCredManAccessPrivilege |
從網路存取這台電腦 | SeNetworkLogonRight |
當成作業系統的一部分 | SeTcbPrivilege |
將工作站新增至網域 | SeMachineAccountPrivilege |
調整處理序的記憶體配額 | SeIncreaseQuotaPrivilege |
允許本機登入 | SeInteractiveLogonRight |
允許透過 [終端機服務] 登入 | SeRemoteInteractiveLogonRight |
備份檔案及目錄 | SeBackupPrivilege |
略過周遊檢查 | SeChangeNotifyPrivilege |
變更系統時間 | SeSystemtimePrivilege |
變更時區 | SeTimeZonePrivilege |
建立分頁檔 | SeCreatePagefilePrivilege |
建立權杖物件 | SeCreateTokenPrivilege |
建立通用物件 | SeCreateGlobalPrivilege |
建立永久共用物件 | SeCreatePermanentPrivilege |
建立符號連結 | SeCreateSymbolicLinkPrivilege |
偵錯程式 | SeDebugPrivilege |
拒絕從網路存取這台電腦 | SeDenyNetworkLogonRight |
拒絕以批次工作登入 | SeDenyBatchLogonRight |
拒絕以服務方式登入 | SeDenyServiceLogonRight |
拒絕本機登入 | SeDenyInteractiveLogonRight |
拒絕透過 [終端機服務] 登入 | SeDenyRemoteInteractiveLogonRight |
讓電腦及使用者帳戶受信賴,以進行委派 | SeEnableDelegationPrivilege |
強制從遠端系統關機 | SeRemoteShutdownPrivilege |
產生安全性稽核 | SeAuditPrivilege |
在驗證後模擬用戶端 | SeImpersonatePrivilege |
增加處理程序工作組 | SeIncreaseWorkingSetPrivilege |
增加排程優先順序 | SeIncreaseBasePriorityPrivilege |
載入及解除載入裝置驅動程式 | SeLoadDriverPrivilege |
鎖定記憶體中的分頁 | SeLockMemoryPrivilege |
以批次工作登入 | SeBatchLogonRight |
登入為服務 | SeServiceLogonRight |
管理稽核及安全性記錄檔 | SeSecurityPrivilege |
修改物件標籤 | SeRelabelPrivilege |
修改韌體環境值 | SeSystemEnvironmentPrivilege |
執行磁碟區維護工作 | SeManageVolumePrivilege |
監視單一處理程序 | SeProfileSingleProcessPrivilege |
監視系統效能 | SeSystemProfilePrivilege |
從銜接站移除電腦 | SeUndockPrivilege |
取代處理程序等級權杖 | SeAssignPrimaryTokenPrivilege |
還原檔案及目錄 | SeRestorePrivilege |
關閉系統 | SeShutdownPrivilege |
同步處理目錄服務資料 | SeSyncAgentPrivilege |
取得檔案或其他物件的擁有權 | SeTakeOwnershipPrivilege |
權限
權限是套用至安全性實體物件 (例如檔案系統、登錄、服務和 Active Directory 物件) 的存取控制。 每個安全性實體物件都有相關聯的存取控制清單 (ACL),其中包含授與或拒絕安全性主體 (使用者、服務、電腦或群組) 對物件執行各種作業的存取控制項目 (ACE)。 例如,Active Directory 中許多物件的 ACL 包含 ACE,可讓已驗證的使用者讀取有關物件的一般資訊,但不授與他們讀取機密資訊或變更物件的能力。 除了每個網域的內建來賓帳戶之外,每個登入 Active Directory 樹系或受信任樹系中網域控制站且經其驗證的安全性主體,預設都會將已驗證的使用者安全性識別碼 (SID) 新增至其存取權杖。 因此,無論是使用者、服務或電腦帳戶嘗試讀取網域中使用者物件的一般屬性,讀取作業都會成功。
如果安全性主體嘗試存取未定義任何 ACE 的物件,且包含主體存取權杖中存在的 SID,則主體無法存取物件。 此外,如果物件 ACL 中的 ACE 包含符合使用者存取權杖 SID 的拒絕項目,則「拒絕」ACE 通常會覆寫衝突的「允許」ACE。 如需 Windows 中存取控制的詳細資訊,請參閱 MSDN 網站上的存取控制。
在本文件中,權限是指對安全性實體物件上的安全性主體授與或拒絕的功能。 每當使用者權利與權限之間發生衝突時,使用者權利通常有優先行使權。 例如,如果 Active Directory 中的物件已使用 ACL 進行設定,而該 ACL 拒絕系統管理員對物件的所有讀取和寫入存取權,則網域 Administrators 群組成員的使用者將無法檢視太多物件的相關資訊。 不過,由於 Administrators 群組獲授與「取得檔案或其他物件的擁有權」使用者權利,因此使用者只需取得有問題物件的擁有權,然後重寫物件的 ACL,以授與系統管理員對物件的完全控制權。
因此,本文件鼓勵您避免使用功能強大的帳戶和群組來進行日常管理,而是嘗試限制帳戶和群組的功能。 無法有效地阻止可存取強大認證的已定使用者使用這些認證來存取任何安全性實體資源。
內建具特殊權限的帳戶和群組
Active Directory 旨在協助委派系統管理,以及指派權利和特殊權限的最低權限原則。 在 Active Directory 網域中擁有帳戶的「一般」使用者依預設能夠讀取儲存在目錄中的大部分內容,但只能變更目錄中非常有限的資料集。 需要額外特殊權限的使用者可以獲授與目錄中所內建各種特殊權限群組的成員資格,讓他們可以執行與其角色相關的特定工作,但無法執行與其職責無關的工作。
在 Active Directory 中,目錄中的最高特殊權限群組是由三個內建群組所組成,以及第四個群組,Schema Admins (SA) 群組:
Schema Admins (SA) 群組具有特殊權限,如果遭到濫用,可能會損毀或終結整個 Active Directory 樹系,但此群組的功能比 EA、DA 和 BA 群組更受限。
除了這四個群組之外,Active Directory 中還有一些額外的內建和預設帳戶及群組,每個帳戶及群組都會獲得權利和權限,可允許執行特定的管理工作。 雖然本附錄並未提供 Active Directory 中每個內建或預設群組的完整討論,但其會提供您最有可能在安裝中看到的群組和帳戶資料表。
例如,如果您將 Microsoft Exchange Server 安裝到 Active Directory 樹系中,則可在網域的內建和使用者容器中建立其他帳戶和群組。 本附錄僅說明以原生角色和功能為基礎的 Active Directory 內建和使用者容器中所建立的群組和帳戶。 不包含安裝企業軟體所建立的帳戶和群組。
Enterprise Admins
Enterprise Admins (EA) 群組位於樹系根網域,且根據預設,其為樹系中每個網域內建 Administrators 群組的成員。 樹系根網域中的內建 Administrator 帳戶是 EA 群組的唯一預設成員。 EAS 已獲得權利和權限,可使其影響整個樹系的變更。 這些變更會影響樹系中的所有網域,例如新增或移除網域、建立樹系信任或提高樹系功能層級。 在正確設計及實作的委派模型中,只有在第一次建構樹系或進行某些全樹系變更 (例如建立輸出樹系信任) 時,才需要 EA 成員資格。
EA 群組預設位於樹系根網域的 [使用者] 容器中,且其為通用安全性群組,除非樹系根網域是在 Windows 2000 Server 混合模式中執行,在此情況下,群組是全域安全性群組。 雖然某些權利會直接授與 EA 群組,但此群組的許多權利實際上都會由 EA 群組繼承,因為其為樹系中每個網域的 Administrators 群組成員。 Enterprise Admins 在工作站或成員伺服器上沒有預設權利。
Domain Admins
樹系中的每個網域都有自己的 Domain Admins (DA) 群組,除了加入網域的每部電腦上本機 Administrators 群組的成員之外,這是該網域內建 Administrators (BA) 群組的成員。 該網域的內建 Administrator 帳戶是網域 EA 群組的唯一預設成員。
DA 在其網域內全能強大,而 EAS 具有全樹系特殊權限。 在正確設計及實作的委派模型中,只有在「緊急安全窗口」案例中才需要 DA 成員資格,也就是需要網域中每部電腦上具有高層級特殊權限的帳戶的情況,或必須進行特定網域範圍的變更時。 雖然原生 Active Directory 委派機制確實允許委派,但只有在緊急情況下才能使用 DA 帳戶,而建構有效的委派模型可能會曠日耗時,因此許多組織會使用協力廠商應用程式來加速程序。
DA 群組是位於網域 [使用者] 容器中的全域安全性群組。 樹系中的每個網域都有一個 DA 群組,而 DA 群組的唯一預設成員是網域的內建 Administrator 帳戶。 由於網域的 DA 群組巢狀於網域的 BA 群組和每個已加入網域的系統本機 Administrators 群組中,所以 DA 不僅具有特別授與 Domain Admins 的權限,還會繼承授與網域 Administrators 群組的所有權利和權限,以及已加入網域所有系統上的本機 Administrators 群組。
管理員
內建的 Administrators (BA) 群組是網域內建容器中的網域本機群組,其中 DAS 和 EA 是巢狀結構,且此群組會授與目錄中和網域控制站上的許多直接權利和權限。 不過,網域的 Administrators 群組在成員伺服器或工作站上沒有任何特殊權限。 已加入網域電腦的本機 Administrators 群組中成員資格是授與本機特殊權限的位置;在所討論的群組中,預設只有 DA 是所有已加入網域電腦本機 Administrators 群組的成員。
Administrators 群組是網域內建容器中的網域本機群組。 根據預設,每個網域的 BA 群組都包含本機網域的內建 Administrator 帳戶、本機網域的 DA 群組,以及樹系根網域的 EA 群組。 Active Directory 和網域控制站上的許多使用者權利都會特別授與系統管理員群組,而不是授與 EA 或 DA。 網域的 BA 群組會授與大部分目錄物件的完整控制權限,且可以取得目錄物件的擁有權。 雖然 EA 和 DA 群組被授與樹系和網域中某些物件特定的權限,但群組的大部分功能實際上都是從 BA 群組中的成員資格「繼承」。
注意
雖然這些是這些特殊權限群組的預設組態,但三個群組中的任何一個成員都可以操作目錄,以取得任何其他群組中的成員資格。 在某些情況下,要實現並不難,但在其他情況下則會比較困難,但從潛在特殊權限的角度來看,這三個群組全都應有效視為同等。
Schema Admins
Schema Admins (SA) 群組是樹系根網域中的通用群組,且只有該網域的內建 Administrator 帳戶做為預設成員,類似於 EA 群組。 雖然 SA 群組中的成員資格可讓攻擊者入侵 Active Directory 結構描述 (這是整個 Active Directory 樹系的架構),但 SA 除了結構描述之外,很少有預設權利和權限。
您應該仔細管理及監視 SA 群組中的成員資格,但在某些方面,此群組比先前所述的三個最高特殊權限群組「較不具特殊權限」,因為其特殊權限的範圍非常窄;也就是說,SA 除了結構描述之外,沒有任何系統管理權限。
Active Directory 中的其他內建和預設群組
為了協助委派目錄中的系統管理,Active Directory 隨附各種已授與特定權利和權限的內建和預設群組。 下表簡短說明這些群組。
下表列出 Active Directory 中的內建和預設群組。 這兩組群組預設都存在;不過,內建群組 (預設) 位於 Active Directory 的內建容器中,而預設群組則 (預設) 位於 Active Directory 中的 [使用者] 容器中。 內建容器中的群組全都是網域本機群組,而除了三個個別使用者帳戶 (Administrator、Guest 和 Krbtgt),[使用者] 容器中的群組則是網域本機、全域和通用群組的混合。
除了本附錄中稍早所述的最高特殊權限群組之外,某些內建和預設帳戶及群組會獲授與較高的權限,並且也應該在安全的系統管理主機上受到保護及使用。 您可在表格 B-1:Active Directory 中的內建和預設群組及帳戶的陰影資料列中找到這些群組和帳戶。 由於這些群組和帳戶中有一些已獲授與可能遭誤用而危害 Active Directory 或網域控制站的權利或權限,因此會獲得額外的保護,如附錄 C:Active Directory 中的受保護帳戶和群組中所述。
表 B-1:Active Directory 中的內建和預設帳戶和群組
帳戶或群組 | 預設容器、群組範圍和類型 | 描述和預設使用者權利 |
---|---|---|
Access Control Assistance Operators (Windows Server 2012 中為 Active Directory) | 內建容器 網域本機安全性群組 |
此群組的成員可以從遠端查詢此電腦上資源的授權屬性和權限。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Account Operators | 內建容器 網域本機安全性群組 |
成員可以管理網域使用者和群組帳戶。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
系統管理員帳戶 | 使用者容器 不是群組 |
用於管理網域的內建帳戶。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 調整處理序的記憶體配額 允許本機登入 允許透過遠端桌面服務登入 備份檔案及目錄 略過周遊檢查 變更系統時間 變更時區 建立分頁檔 建立通用物件 建立符號連結 偵錯程式 讓電腦及使用者帳戶受信賴,以進行委派 強制從遠端系統進行關閉 在驗證後模擬用戶端 增加程序工作集 增加排程優先順序 載入及解除載入裝置驅動程式 以批次工作登入 管理稽核及安全性記錄檔 修改韌體環境值 執行磁碟區維護工作 設定檔單一程序 設定檔系統效能 從擴充座移除電腦 還原檔案及目錄 關閉系統 取得檔案或其他物件的擁有權 |
Administrator 帳戶 | 內建容器 網域本機安全性群組 |
系統管理員對於網域具有完整且不受限制的存取權。 直接使用者權利: 從網路存取這台電腦 調整處理程序的記憶體配額 允許本機登入 允許透過遠端桌面服務登入 備份檔案及目錄 略過周遊檢查 變更系統時間 變更時區 建立分頁檔 建立通用物件 建立符號連結 偵錯程式 讓電腦及使用者帳戶受信賴,以進行委派 強制從遠端系統進行關閉 在驗證後模擬用戶端 增加排程優先順序 載入及解除載入裝置驅動程式 以批次工作登入 管理稽核及安全性記錄檔 修改韌體環境值 執行磁碟區維護工作 設定檔單一程序 設定檔系統效能 從擴充座移除電腦 還原檔案及目錄 關閉系統 取得檔案或其他物件的擁有權 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
允許的 RODC 密碼複寫群組 | 使用者容器 網域本機安全性群組 |
此群組中的成員可將其密碼複寫到網域中所有的唯讀網域控制站。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Backup Operators | 內建容器 網域本機安全性群組 |
備份操作員可就備份或還原檔案的唯一目的來覆寫安全性限制。 直接使用者權利: 允許本機登入 備份檔案及目錄 以批次工作登入 還原檔案及目錄 關閉系統 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Cert Publishers | 使用者容器 網域本機安全性群組 |
允許此群組的成員將憑證發佈至目錄。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
憑證服務 DCOM 存取 | 內建容器 網域本機安全性群組 |
如果憑證服務是安裝在網域控制站 (不建議) 上,則此群組會向網域使用者和網域電腦授與 DCOM 註冊存取權。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
可複製的網域控制站 (Windows Server 2012 AD DS 中為 AD DS) | 使用者容器 全域安全性群組 |
可能會複製此群組中屬於網域控制站的成員。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Cryptographic Operators | 內建容器 網域本機安全性群組 |
成員被授權執行加密編譯作業。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
偵錯工具使用者 | 這既不是預設群組,也不是內建群組,但在 AD DS 中出現時,則會造成需要進一步的調查。 | 偵錯工具使用者群組的存在表示偵錯工具已在某個時間點安裝在系統上,無論是透過 Visual Studio、SQL、Office 或其他需要及支援偵錯環境的應用程式。 此群組允許遠端偵錯存取電腦。 當這個群組存在於網域層級時,即表示已在網域控制站上安裝包含偵錯工具的偵錯工具或應用程式。 |
拒絕的 RODC 密碼複寫群組 | 使用者容器 網域本機安全性群組 |
此群組中的成員無法將其密碼複寫到網域中任何的唯讀網域控制站。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
DHCP Administrators | 使用者容器 網域本機安全性群組 |
此群組的成員具有 DHCP 伺服器服務的系統管理存取權。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
DHCP 使用者 | 使用者容器 網域本機安全性群組 |
此群組的成員具有 DHCP 伺服器服務的僅檢視存取權。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Distributed COM Users | 內建容器 網域本機安全性群組 |
允許此群組的成員開始、啟動及使用此電腦上的分散式 COM 物件。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
DnsAdmins | 使用者容器 網域本機安全性群組 |
此群組的成員具有 DNS 伺服器服務的系統管理存取權。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
DnsUpdateProxy | 使用者容器 全域安全性群組 |
此群組的成員是 DNS 用戶端,這些 DNS 用戶端可允許代表無法自行執行動態更新的用戶端。 此群組的成員通常是 DHCP 伺服器。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Domain Admins | 使用者容器 全域安全性群組 |
網域的指定系統管理員;Domain Admins 是每個已加入網域電腦本機 Administrators 群組的成員,除了網域的 Administrators 群組之外,還會收到授與給本機 Administrators 群組的權利和權限。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 調整處理序的記憶體配額 允許本機登入 允許透過遠端桌面服務登入 備份檔案及目錄 略過周遊檢查 變更系統時間 變更時區 建立分頁檔 建立通用物件 建立符號連結 偵錯程式 讓電腦及使用者帳戶受信賴,以進行委派 強制從遠端系統進行關閉 在驗證後模擬用戶端 增加程序工作集 增加排程優先順序 載入及解除載入裝置驅動程式 以批次工作登入 管理稽核及安全性記錄檔 修改韌體環境值 執行磁碟區維護工作 設定檔單一程序 設定檔系統效能 從擴充座移除電腦 還原檔案及目錄 關閉系統 取得檔案或其他物件的擁有權 |
網域電腦 | 使用者容器 全域安全性群組 |
加入網域的所有工作站和伺服器預設都是此群組的成員。 預設直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
網域控制站 | 使用者容器 全域安全性群組 |
網域中的所有網域控制站。 注意:網域控制站不是 Domain Computers 群組的成員。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
網域來賓 | 使用者容器 全域安全性群組 |
網域中的所有來賓 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
網域使用者 | 使用者容器 全域安全性群組 |
網域中的所有使用者 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Enterprise Admins (僅存在樹系根網域中) | 使用者容器 通用安全性群組 |
Enterprise Admins 有權限可變更全樹系的組態設定;Enterprise Admins 是每個網域 Administrators 群組的成員,會接收授與給該群組的權利和權限。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 調整處理序的記憶體配額 允許本機登入 允許透過遠端桌面服務登入 備份檔案及目錄 略過周遊檢查 變更系統時間 變更時區 建立分頁檔 建立通用物件 建立符號連結 偵錯程式 讓電腦及使用者帳戶受信賴,以進行委派 強制從遠端系統進行關閉 在驗證後模擬用戶端 增加程序工作集 增加排程優先順序 載入及解除載入裝置驅動程式 以批次工作登入 管理稽核及安全性記錄檔 修改韌體環境值 執行磁碟區維護工作 設定檔單一程序 設定檔系統效能 從擴充座移除電腦 還原檔案及目錄 關閉系統 取得檔案或其他物件的擁有權 |
企業唯讀網域控制站 | 使用者容器 通用安全性群組 |
此群組包含樹系中所有唯讀網域控制站的帳戶。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Event Log Readers | 內建容器 網域本機安全性群組 |
此群組的成員可以讀取網域控制站上的事件記錄檔。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Group Policy Creator Owners | 使用者容器 全域安全性群組 |
此群組的成員可以在網域中建立及修改群組原則物件。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
來賓 | 使用者容器 不是群組 |
這是 AD DS 網域中唯一沒有將已驗證使用者 SID 新增至其存取權杖的帳戶。 因此,設定為授與已驗證使用者群組存取權的任何資源將無法存取此帳戶。 此行為不適用於網域來賓和來賓群組的成員,不過,這些群組的成員確實已將已驗證的使用者 SID 新增至其存取權杖。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 略過周遊檢查 增加處理程序工作組 |
來賓 | 內建容器 網域本機安全性群組 |
根據預設,來賓具有與使用者群組成員相同的存取權,但來賓帳戶除外,因為來賓帳戶進一步受到限制,如先前所述。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Hyper-V Administrators (Windows Server 2012) | 內建容器 網域本機安全性群組 |
此群組的成員對於 Hyper-V 所有功能具有完整與不受限制的存取權。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
IIS_IUSRS | 內建容器 網域本機安全性群組 |
Internet Information Services 所使用的內建群組。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Incoming Forest Trust Builders (僅存在樹系根網域中) | 內建容器 網域本機安全性群組 |
此群組的成員可以建立此樹系的傳入單向信任。 (針對 Enterprise Admins 保留建立輸出樹系信任。) 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Krbtgt | 使用者容器 不是群組 |
Krbtgt 帳戶是網域中 Kerberos 金鑰發佈中心的服務帳戶。 此帳戶可存取儲存在 Active Directory 中的所有帳戶憑證。 此帳戶預設會停用,且絕不得啟用 使用者權利:N/A |
Network Configuration Operators | 內建容器 網域本機安全性群組 |
此群組的成員會獲授與特殊權限,可讓他們管理網路功能的設定。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
效能記錄使用者 | 內建容器 網域本機安全性群組 |
此群組的成員可以排程效能計數器的記錄、啟用追蹤提供者,以及透過遠端存取電腦收集事件追蹤。 直接使用者權利: 以批次工作登入 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
效能監視器使用者 | 內建容器 網域本機安全性群組 |
此群組的成員可以在本機及遠端存取效能計數器資料。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Pre-Windows 2000 Compatible Access | 內建容器 網域本機安全性群組 |
此群組存在於 Windows 2000 Server 之前與作業系統的回溯相容性,且可讓成員能夠讀取網域中的使用者和群組資訊。 直接使用者權利: 從網路存取這台電腦 略過周遊檢查 繼承的使用者權利: 將工作站新增至網域 增加處理程序工作組 |
Print Operators | 內建容器 網域本機安全性群組 |
此群組的成員可以管理網域印表機。 直接使用者權利: 允許本機登入 載入及解除載入裝置驅動程式 關閉系統 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
RAS 與 IAS 伺服器 | 使用者容器 網域本機安全性群組 |
此群組中的伺服器可以在網域中的使用者帳戶上讀取遠端存取屬性。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
RDS Endpoint Servers (Windows Server 2012) | 內建容器 網域本機安全性群組 |
此群組中的伺服器會執行使用者 RemoteApp 程式和個人虛擬桌面執行位置的虛擬機器和主機工作階段。 必須在執行 RD 連線代理人的伺服器上填入此群組。 部署中使用的 RD 工作階段主機伺服器和 RD 虛擬化主機伺服器必須位於此群組中。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
RDS Management Servers (Windows Server 2012) | 內建容器 網域本機安全性群組 |
此群組中的伺服器可以在執行遠端桌面服務的伺服器上執行例行的系統管理動作。 必須在遠端桌面服務部署中的所有伺服器上填入此群組。 執行 RDS 中央管理服務的伺服器必須包含在此群組中。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
RDS Remote Access Servers (Windows Server 2012) | 內建容器 網域本機安全性群組 |
此群組中的伺服器可讓 RemoteApp 程式和個人虛擬桌面的使用者存取這些資源。 在網際網路對向部署中,這些伺服器通常會部署在邊緣網路中。 必須在執行 RD 連線代理人的伺服器上填入此群組。 部署中使用的 RD 閘道伺服器和 RD Web 存取伺服器必須位於此群組中。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Read-only Domain Controllers | 使用者容器 全域安全性群組 |
此群組包含網域中的所有唯讀網域控制站。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Remote Desktop Users | 內建容器 網域本機安全性群組 |
此群組的成員有權使用 RDP 從遠端登入。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
遠端管理使用者 (Windows Server 2012) | 內建容器 網域本機安全性群組 |
此群組的成員可透過管理通訊協定 (例如透過 Windows 遠端系統管理服務的 WS-Management) 來存取 WMI 資源。 這只適用於授與使用者存取權的 WMI 命名空間。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Replicator | 內建容器 網域本機安全性群組 |
支援網域中的舊版檔案複寫。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Schema Admins (僅存在樹系根網域中) | 使用者容器 通用安全性群組 |
Schema Admins 是唯一可以修改 Active Directory 結構描述的使用者,且僅在結構描述已啟用寫入的情況下才可修改。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
Server Operators | 內建容器 網域本機安全性群組 |
此群組的成員可以管理網域控制器。 直接使用者權利: 允許本機登入 備份檔案及目錄 變更系統時間 變更時區 強制從遠端系統進行關閉 還原檔案及目錄 關閉系統 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
終端伺服器授權伺服器 | 內建容器 網域本機安全性群組 |
此群組的成員可以使用授權發行的相關資訊來更新 Active Directory 中的使用者帳戶,以便追蹤及報告 TS Per User CAL 使用量 預設直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
使用者 | 內建容器 網域本機安全性群組 |
使用者具有權限可讓他們讀取 Active Directory 中的許多物件和屬性,但大部分都無法變更。 使用者無法進行意外或刻意的全系統變更,且可以執行大部分的應用程式。 直接使用者權利: 增加處理程序工作組 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 |
Windows Authorization Access 群組 | 內建容器 網域本機安全性群組 |
此群組的成員可以存取 User 物件上的計算 tokenGroupsGlobalAndUniversal 屬性 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |
WinRMRemoteWMIUsers_ (Windows Server 2012) | 使用者容器 網域本機安全性群組 |
此群組的成員可透過管理通訊協定 (例如透過 Windows 遠端系統管理服務的 WS-Management) 來存取 WMI 資源。 這只適用於授與使用者存取權的 WMI 命名空間。 直接使用者權利:無 繼承的使用者權利: 從網路存取這台電腦 將工作站新增至網域 略過周遊檢查 增加處理程序工作組 |