了解用于 Windows 访问控制的 Windows Server 特殊标识组(有时称为安全组)。
什么是特殊标识组?
特殊标识组类似于 Active Directory 的“Users”和“BuiltIn”容器中列出的 Active Directory 安全组。 特殊标识组可以提供一种有效的方式来分配对网络中资源的访问权限。 通过使用特殊标识组,可以:
将用户权限分配给 Active Directory 中的安全组。
为安全组分配权限以访问资源。
特殊标识组在 Windows Server 中的工作原理
如果服务器运行的是本文开头“适用范围”中所示的 Windows Server 操作系统版本之一,则该服务器有多个特殊标识组。 这些特殊标识组没有可以修改的特定成员身份,但它们可以在不同的时间表示不同的用户,具体取决于情况。
虽然可以将特定资源的权利和权限分配给特殊标识组,但无法查看或修改特殊标识组的成员身份。 组范围不适用于特殊标识组。 用户在登录或访问特定资源时会自动分配到特殊标识组。
有关 Active Directory 安全组和组范围的信息,请参阅 Active Directory 安全组。
默认特殊标识组
以下部分介绍 Windows Server 中的默认特殊标识组。
- 匿名登录
- 证明的键属性
- 经过身份验证的用户
- 身份验证机构声明身份
- Batch
- 控制台登录
- 创建者组
- 创建者所有者
- Dialup
- 摘要式身份验证
- 企业域控制器
- 企业只读域控制器
- 所有人
- 新的公钥标识
- 交互
- IUSR
- 密钥信任
- 本地服务
- LocalSystem
- MFA 键属性
- 网络
- 网络服务
- NTLM 身份验证
- 其他组织
- 所有者权限
- 主体自我
- 代理
- 只读域控制器
- 远程交互式登录
- 受限制
- SChannel 身份验证
- 服务
- 服务声明身份
- 终端服务器用户
- 此组织
- 窗口管理器\窗口管理器组
匿名登录
通过匿名登录访问系统的任何用户都具有 Anonymous Logon 标识。 此标识允许匿名访问资源,例如访问公司服务器上发布的网页。 默认情况下,Anonymous Logon 组不是 Everyone 组的成员。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-7 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
证明的键属性
表示密钥信任对象具有证明属性的安全标识符 (SID)。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-6 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
经过身份验证的用户
通过登录过程访问系统的任何用户都具有 Authenticated Users 标识。 此标识允许访问域中的共享资源,例如应可供组织中的所有员工访问的共享文件夹中的文件。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-11 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
通过网络访问此计算机:SeNetworkLogonRight 将工作站添加到域:SeMachineAccountPrivilege 跳过遍历检查:SeChangeNotifyPrivilege |
身份验证机构断言的标识
SID,表示客户端的标识由身份验证机构根据拥有客户端凭据的证明进行断言。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-1 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
Batch
作为批处理作业或通过批处理队列访问系统的任何用户或进程都具有 Batch 标识。 此标识允许批处理作业运行计划任务,例如删除临时文件的夜间清理作业。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-3 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
控制台登录
包括登录到物理控制台的用户的组。 此 SID 可用于实现安全策略,这些策略根据用户是否已被授予对控制台的物理访问权限来授予不同的权限。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-2-1 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
创建者组
创建文件或目录的人是此特殊标识组的成员。 Windows Server 操作系统使用此标识自动向文件或目录的创建者授予访问权限。
占位符 SID 在可继承的访问控制项 (ACE) 中创建。 继承 ACE 时,系统会将此 SID 替换为对象当前所有者的主要组的 SID。 主要组仅由 POSIX 子系统使用。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-3-1 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
Creator 所有者
创建文件或目录的人是此特殊标识组的成员。 Windows Server 操作系统使用此标识自动向文件或目录的创建者授予访问权限。 占位符 SID 在可继承的 ACE 中创建。 继承 ACE 时,系统会将此 SID 替换为对象当前所有者的 SID。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-3-0 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
Dialup (DIALUP)
任何通过拨号连接访问系统的用户都具有 Dialup 标识。 此标识将拨号用户与其他类型的经过身份验证的用户区分开。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-1 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
摘要式身份验证
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-64-21 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
企业域控制器
该组包含 Active Directory 林中的所有域控制器。 具有企业范围角色和职责的域控制器具有 Enterprise Domain Controllers 标识。 此标识允许域控制器通过使用可传递信任在企业中执行某些任务。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-9 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
通过网络访问此计算机:SeNetworkLogonRight 允许本地登录:SeInteractiveLogonRight |
企业只读域控制器
此组包括 Active Directory 林中的所有只读域控制器 (RODC)。 企业 RODC 可以复制 Active Directory 数据库的较大子集,包括林中所有域的全局目录和只读域分区。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-RootDomain-498<> |
| 对象类 | 组 |
| Active Directory 中的默认位置 | CN=Users,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
所有人
所有交互式、网络、拨号和经过身份验证的用户都是 Everyone 组的成员。 此特殊标识组提供对系统资源的广泛访问。 当用户登录到网络时,该用户会自动添加到 Everyone 组中。 成员身份由操作系统控制。
在运行 Windows 2000 及更早版本的计算机上,“每个人”组将匿名登录组作为默认成员。 从 Windows Server 2003 开始,Everyone 组仅包含“Authenticated Users”和“Guest”。 默认情况下,该组不再包括 Anonymous Logon 组。 若要更改“每个人”组设置以包括匿名登录组,请在注册表编辑器中转到 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 键,并将 everyoneincludesanonymous DWORD 的值设置为 1。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-1-0 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
通过网络访问此计算机:SeNetworkLogonRight 跳过遍历检查:SeChangeNotifyPrivilege |
全新公钥标识
SID,表示客户端的标识由身份验证机构根据当前拥有客户端公钥凭据的证明进行断言。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-3 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
交互
登录到本地系统的任何用户都具有 Interactive 标识。 此标识仅允许本地用户访问资源。 当用户访问其当前登录的计算机上的特定资源时,该用户会自动添加到 Interactive 组。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-4 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
IUSR
启用匿名身份验证时,Internet Information Services (IIS) 默认使用此帐户。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-17 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
密钥信任
一个 SID,表示客户端标识基于使用密钥信任对象的公钥凭据的所有权证明。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-4 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
本地服务
Local Service 帐户类似于 Authenticated User 帐户。 Local Service 帐户的成员与 Users 组的成员具有相同级别的资源和对象访问权限。 如果各个服务或进程受到危害,则有限的访问权限将有助于保护系统。 作为 Local Service 帐户运行的服务使用匿名凭据作为 NULL 会话访问网络资源。 该帐户的名称为 NT AUTHORITY\LocalService。 此帐户没有密码。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-19 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
调整进程的内存配额:SeIncreaseQuotaPrivilege 跳过遍历检查:SeChangeNotifyPrivilege 更改系统时间:SeSystemtimePrivilege 更改时区:SeTimeZonePrivilege 创建全局对象:SeCreateGlobalPrivilege 生成安全审核:SeAuditPrivilege 身份验证后模拟客户端:SeImpersonatePrivilege 替换进程级别标记:SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem 帐户是操作系统使用的服务帐户。 LocalSystem 帐户是一个功能强大的帐户,可以完全访问系统并充当网络上的计算机。 如果某个服务登录到域控制器上的 LocalSystem 帐户,则该服务可以访问整个域。 某些服务默认配置为登录到 LocalSystem 帐户。 不要更改默认服务设置。 该帐户的名称为 LocalSystem。 此帐户没有密码。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-18 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
MFA 键属性
一个 SID,表示密钥信任对象具有多重身份验证 (MFA) 属性。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-5 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
网络
该组隐式包括所有通过网络连接登录的用户。 任何通过网络访问系统的用户都具有 Network 标识。 此标识仅允许远程用户访问资源。 当用户通过网络访问特定资源时,该用户会自动添加到 Network 组中。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-2 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
网络服务
Network Service 帐户类似于 Authenticated User 帐户。 Network Service 帐户的成员对资源和对象的访问权限与 Users 组的成员相同。 如果各个服务或进程受到危害,则有限的访问权限将有助于保护系统。 以 Network Service 帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。 帐户名是 NT AUTHORITY\NetworkService。 此帐户没有密码。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-20 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
调整进程的内存配额:SeIncreaseQuotaPrivilege 跳过遍历检查:SeChangeNotifyPrivilege 创建全局对象:SeCreateGlobalPrivilege 生成安全审核:SeAuditPrivilege 身份验证后模拟客户端:SeImpersonatePrivilege 替换进程级别标记:SeAssignPrimaryTokenPrivilege |
NTLM 身份验证
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-64-10 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
其他组织
该组隐式包括所有通过拨号连接登录到系统的用户。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-1000 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
所有者权限
Owner Rights 组表示对象的当前所有者。 当携带此 SID 的 ACE 应用于对象时,系统将忽略对象所有者的隐式 READ_CONTROL 和 WRITE_DAC 权限。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-3-4 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
主体自我
此标识是 Active Directory 中用户、组或计算机对象的 ACE 中的占位符。 向 Principal Self 授予权限时,将权限授予对象所表示的安全主体。 在访问检查期间,操作系统会将 Principal Self 的 SID 替换为对象所表示的安全主体的 SID。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-10 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
代理
标识 SECURITY_NT_AUTHORITY 代理。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-8 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
只读域控制器
此组包括域中具有 Active Directory 数据库的只读权限的所有 RODC。 除了帐户密码,RODC 还保存可写域控制器保存的所有 Active Directory 对象和属性。 它允许在物理安全性稀缺或无法保证时部署域控制器。 RODC 是此组的显式成员。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-domain-521<> |
| 对象类 | 组 |
| Active Directory 中的默认位置 | CN=Users,DC=<rootDomain> |
| 默认用户权限 | 无 |
注意
在林中创建 RODC 帐户时,会自动创建 Denied RODC Password Replication 组。 不能在“Denied RODC Password Replication”组中复制密码。
远程交互式登录
此标识表示当前使用远程桌面协议连接登录到计算机的所有用户。 该组是 Interactive 组的子集。 包含远程交互式登录 SID 的访问令牌也包含交互式 SID。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-14 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
受限制
具有受限制功能的用户和计算机具有 Restricted 标识。 此标识组由在受限安全上下文中运行的进程使用,例如使用 RunAs 服务运行应用程序时。 当代码在受限制安全级别运行时,受限制 SID 将添加到用户的访问令牌中。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-12 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
SChannel 身份验证
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-64-14 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
服务
任何访问系统的服务都具有 Service 标识。 此标识组包括作为服务登录的所有安全主体。 此标识授予对 Windows Server 服务正在运行的进程的访问权限。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-6 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
创建全局对象:SeCreateGlobalPrivilege 身份验证后模拟客户端:SeImpersonatePrivilege |
服务声明身份
一个 SID,表示客户端标识由服务断言。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-18-2 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
终端服务器用户
通过终端服务访问系统的任何用户都具有 Terminal Server User 标识。 此标识允许用户访问终端服务器应用程序并使用终端服务器服务执行其他必要任务。 成员身份由操作系统控制。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-13 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
此组织
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-15 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 | 无 |
窗口管理器\窗口管理器组
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-90 |
| 对象类 | 外部安全主体 |
| Active Directory 中的默认位置 | CN=WellKnown 安全主体,CN=配置,DC=<forestRootDomain> |
| 默认用户权限 |
跳过遍历检查:SeChangeNotifyPrivilege 增加进程工作集:SeIncreaseWorkingSetPrivilege |