附錄 B：Active Directory 特殊許可權帳戶和群組參考指南

Active Directory 網域服務包含許多內建帳戶和群組，這些帳戶和群組獲授與較高許可權來執行系統管理工作。 這些特殊許可權帳戶會授與強大的許可權、許可權和許可權，讓他們在 Active Directory 和已加入網域的系統上執行幾乎任何動作。

本附錄提供下列基本資訊：

• 許可權、許可權和許可權。
• 最高許可權群組。
• 內建和預設帳戶。

了解這些特殊許可權帳戶和群組對於實作有效的安全性控制和監視策略至關重要。 本附錄中的資訊可作為隨附附加附錄中提供之特定安全性建議和實作指引的基礎。

Active Directory 中的許可權、許可權和許可權

許可權、許可權和許可權之間的差異可能會造成混淆。 本節說明本檔中所使用的每個特性。 這些描述不應被視為其他Microsoft檔的權威性，因為它可能會以不同的方式使用這些詞彙。

許可權和許可權

權限和特權實際上是賦予安全性主體（例如使用者、服務、電腦或群組）的相同系統範圍能力。 在 IT 專業人員通常使用的介面中，它稱為 權限 或 使用者權限， 而且它們通常是由群組原則物件指派的。 下列螢幕快照顯示一些可指派給安全性主體的最常見用戶權力（它代表 Windows Server 2012 網域中的預設域控制器 GPO）。 其中某些權限適用於 Active Directory，例如 啟用電腦和使用者帳戶來進行委派信任 使用者權限，而其他權限則適用於 Windows 作業系統，例如 變更系統時間。

在組策略對象編輯器等介面中，所有這些可指派的功能都大致稱為用戶權力。 不過，實際上，某些用戶權力以程式設計方式稱為權利，而其他則以程式設計方式稱為特權。 雖然組策略和其他介面會將所有這些稱為使用者權力，但有些在程式中被識別為權力，而其他則被定義為特權。

如需下表所列之每一個用戶權力的詳細資訊，請參閱 威脅和對策指南： Windows Server 的威脅和弱點風險降低 指南中的用戶權力

Permissions

許可權是套用至安全性實體對象的訪問控制，例如文件系統、登錄、服務和 Active Directory 物件。 每個可保護的物件都有相關聯的訪問控制清單（ACL），其中包含訪問控制項目（ACE），這些項目授予或拒絕安全性主體（例如使用者、服務、計算機或群組）執行對對象進行各種操作的能力。 例如，Active Directory 中許多物件的 ACL 包含 ACE，可讓已驗證的使用者讀取有關物件的一般資訊，但不授與他們讀取敏感性資訊或變更物件的能力。 除了每個網域的內建來賓帳戶之外，每個登入且由Active Directory 樹系或受信任樹系中的域控制器驗證的安全性主體，預設都會將已驗證的使用者安全性標識碼 （SID） 新增至其存取令牌。 因此，無論使用者、服務或計算機帳戶嘗試讀取網域中用戶物件的一般屬性，讀取作業都成功。

如果安全性主體嘗試存取未定義 ACE 的物件，且該物件包含主體存取令牌中存在的 SID，則主體無法存取物件。 此外，如果物件 ACL 中的 ACE 包含符合使用者存取令牌之 SID 的拒絕專案，拒絕 ACE 通常會覆寫衝突的允許 ACE。 如需 Windows 中存取控制的詳細資訊，請參閱 MSDN 網站上的 存取控制 。

在本檔中， 許可權 是指授與或拒絕給安全性實體物件上安全性主體的功能。 每當用戶權力與許可權之間發生衝突時，用戶權力通常會優先。 例如，如果 Active Directory 中的物件是使用 ACL 來設定，以拒絕系統管理員對物件的所有讀取和寫入存取權，則網域 Administrators 群組成員的使用者無法檢視該物件的相關信息。 不過，由於 Administrators 群組被授與用戶權力 取得檔案或其他對象的擁有權，因此使用者可以直接取得有問題的對象的擁有權，然後重寫物件的 ACL 以授與系統管理員對物件的完全控制權。

基於這個理由，本文件鼓勵您避免使用功能強大的帳戶和群組進行日常管理，而不是嘗試限制帳戶和群組的功能。 您無法有效地停止可存取強大認證的已決定使用者，而無法使用這些認證來存取任何安全性實體資源。

內建特殊許可權帳戶和群組

Active Directory 旨在協助系統管理委派，以及在指派權利和許可權時遵循最低許可權原則。 在 Active Directory 網域中擁有帳戶的一般使用者預設能夠讀取儲存在目錄中的大部分內容，但只能變更目錄中的有限數據集。 需要額外許可權的使用者可以獲授與目錄中內建的各種特殊許可權群組的成員資格，以便他們執行與其角色相關的特定工作，但無法執行與其職責無關的工作。

在 Active Directory 中，有三個內建群組組成目錄中的最高許可權群組，加上第四個群組架構管理員 （SA） 群組：

• 企業系統管理員 （EA）
• 網域管理員 （DA）
• 內建系統管理員 （BA）
• 架構管理員 （SA）

架構管理員 （SA） 群組具有許可權，如果遭到濫用，可能會損毀或終結整個 Active Directory 樹系，但此群組的功能比 EA、DA 和 BA 群組更受限。

除了這四個群組之外，Active Directory 中有許多額外的內建和預設帳戶和群組，每個群組都會獲得許可權和許可權，以允許執行特定的系統管理工作。 雖然本附錄並未提供 Active Directory 中每個內建或預設群組的完整討論，但它會提供您在安裝中最有可能看到之群組和帳戶的數據表。

例如，如果您將Microsoft Exchange Server 安裝到 Active Directory 樹系中，可能會在網域的內建和使用者容器中建立額外的帳戶和群組。 本附錄僅說明以原生角色和功能為基礎的 Active Directory 內建和使用者容器中建立的群組和帳戶。 不會包含由安裝企業軟體所建立的帳戶和群組。

Enterprise Admins

Enterprise Admins （EA） 群組位於樹系根網域中，根據預設，它是樹系中每個網域內建 Administrators 群組的成員。 樹系根域中的內建系統管理員帳戶是唯一 EA 群組的預設成員。 EAS 已獲得許可權，可讓它們影響整個樹系的變更。 這些變更會影響樹系中的所有網域，例如新增或移除網域、建立樹系信任或提高樹系功能等級。 在正確設計及實作的委派模型中，只有在第一次建構樹系或進行某些全樹系變更 (例如建立輸出樹系信任) 時，才需要 EA 成員資格。

EA 群組預設位於樹系根域的Users容器中，而且它是通用安全組，除非樹系根域是在Windows 2000 Server混合模式中執行，在此情況下，群組是全域安全組。 雖然某些許可權會直接授與EA群組，但EA群組會繼承此群組的許多許可權，因為它是樹系中每個網域的Administrators群組成員。 企業系統管理員在工作站或成員伺服器上沒有默認許可權。

Domain Admins

樹系中的每個網域都有自己的 Domain Admins（DA）群組，該群組是該網域內建 Administrators（BA）群組的成員，也是加入網域的每部計算機上本機 Administrators 群組的成員。 網域之 DA 群組的唯一預設成員是該網域的內建系統管理員帳戶。

DA 在其網域內全能強大，而EA具有全森林範圍的許可權。 在正確設計和實作的委派模型中，只有在 重大 案例中才需要 DA 成員資格，這是需要在網域中每部電腦上具有高層級許可權的帳戶，或必須進行特定網域範圍變更時。 雖然原生 Active Directory 委派機制確實允許委派，但只有在緊急情況下才能使用 DA 帳戶，但建構有效的委派模型可能會很耗時，而且許多組織會使用第三方應用程式來加速此程式。

DA 群組是位於網域 [使用者] 容器中的全域安全組。 樹系中的每個網域都有一個 DA 群組，而 DA 群組的唯一預設成員是網域的內建系統管理員帳戶。 因為網域的 DA 群組是巢狀於網域的 BA 群組和每個已加入網域的系統本機 Administrators 群組中，所以 DA 不僅具有授與網域系統管理員的許可權，而且也會繼承授與網域系統管理員群組的所有許可權和許可權，以及已加入網域之所有系統上的本機 Administrators 群組。

Administrators

內建的 Administrators （BA） 群組是網域內建容器中的網域本地組，其中 DAS 和 EA 是巢狀的，而且此群組會授與目錄中和域控制器上的許多直接許可權和許可權。 不過，網域的 Administrators 群組在成員伺服器或工作站上沒有任何許可權。 加入網域的電腦中，本機管理員群組的成員資格便是授予本機權限的方式；在討論的群組中，預設只有域管理員是所有已加入網域電腦的本機管理員群組的成員。

Administrators 群組是網域內建容器中的網域本地組。 根據預設，每個網域的BA群組都包含本機網域的內建系統管理員帳戶、本機網域的DA群組，以及樹系根域的EA群組。 Active Directory 和域控制器上的許多使用者權限會特別授予系統管理員群組，而不會授予 EA（企業型管理員）或 DA（域型管理員）。 網域的BA群組會授與大部分目錄物件的完整控制許可權，而且可以取得目錄對象的擁有權。 雖然 EA 和 DA 群組在樹系和網域中被授與特定物件特定許可權，但群組的大部分功能都是繼承自 BA 群組中的成員資格。

Schema Admins

架構管理員 （SA） 群組是樹系根域中的通用群組，而且只有該網域的內建系統管理員帳戶作為預設成員，類似於 EA 群組。 雖然 SA 群組的成員資格可讓攻擊者危害 Active Directory 架構，這是整個 Active Directory 樹系的框架，但 SA 除了架構之外，幾乎沒有其他的預設權利和許可。

您應該仔細管理和監視 SA 群組的成員資格，但在某些方面，此群組的許可權比先前所述的三個最高特殊許可權群組低，因為其許可權範圍很窄;也就是說，SA 除了架構之外，沒有任何系統管理許可權。

Active Directory 中的其他內建和預設群組

為了協助委派目錄中的系統管理，Active Directory 隨附已授與特定許可權的各種內建和預設群組。 下表簡短說明這些群組。

下列各節列出 Active Directory 中的內建和預設群組。 這兩組群組預設都存在;不過，內建群組位於Active Directory的內建容器中，而預設群組則位於Active Directory 中 [使用者] 容器中。預設群組則位於 Active Directory 中的 [使用者] 容器中。 內建容器中的群組全部都是網域本機群組，而使用者容器中的群組則是網域本機群組、全域群組和通用群組的混合，另外還有三個個別用戶帳戶（Administrator、Guest 和 Krbtgt）。

除了本附錄稍早所述的最高特殊許可權群組之外，某些內建和預設帳戶和群組會獲授與較高的許可權，而且也應該在安全的系統管理主機上受到保護及使用。 由於其中一些群組和帳戶已獲授與許可權，這些許可權可能會誤用來危害 Active Directory 或域控制器，因此會提供更多保護，如 附錄 C：Active Directory 中的受保護帳戶和群組中所述。

存取控制協助操作員

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以從遠端查詢此電腦上資源的授權屬性和許可權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本中的 Active Directory。

Account Operators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 成員可以管理網域使用者和組帳戶。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Administrator account

• 默認容器、群組範圍和類型： 使用者容器，不是群組
• 描述和預設用戶權力： 用於管理網域的內建帳戶。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 調整處理程序的記憶體配額
  • 允許本機登入
  • 允許透過遠端桌面服務登入
  • 備份檔案及目錄
  • 略過周遊檢查
  • 變更系統時間
  • 變更時區
  • 建立分頁檔
  • 建立全域物件
  • 建立符號連結
  • Debug programs
  • 讓電腦及使用者帳戶受信賴，以進行委派
  • 強制從遠端系統進行關閉
  • 在驗證後模擬用戶端
  • 增加處理程序工作組
  • 增加排程優先順序
  • 載入及解除載入裝置驅動程式
  • 以批次工作登入
  • 管理稽核及安全性記錄檔
  • 修改韌體環境值
  • 執行磁碟區維護工作
  • 監視單一處理程序
  • 監視系統效能
  • 從銜接站移除電腦
  • 還原檔案及目錄
  • 關閉系統
  • 取得檔案或其他物件的擁有權

Administrators group

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 系統管理員已完整且不受限制地存取網域。
• 直接使用者權力：
  • 從網路存取這台電腦
  • 調整處理程序的記憶體配額
  • 允許本機登入
  • 允許透過遠端桌面服務登入
  • 備份檔案及目錄
  • 略過周遊檢查
  • 變更系統時間
  • 變更時區
  • 建立分頁檔
  • 建立全域物件
  • 建立符號連結
  • Debug programs
  • 讓電腦及使用者帳戶受信賴，以進行委派
  • 強制從遠端系統進行關閉
  • 在驗證後模擬用戶端
  • 增加排程優先順序
  • 載入及解除載入裝置驅動程式
  • 以批次工作登入
  • 管理稽核及安全性記錄檔
  • 修改韌體環境值
  • 執行磁碟區維護工作
  • 監視單一處理程序
  • 監視系統效能
  • 從銜接站移除電腦
  • 還原檔案及目錄
  • 關閉系統
  • 取得檔案或其他物件的擁有權
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

允許的 RODC 密碼複寫群組

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組中的成員可以將其密碼復寫到網域中的所有唯讀域控制器。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Backup Operators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 備份作員可以根據備份或還原檔案的唯一目的來覆寫安全性限制。
• 直接使用者權力：
  • 允許本機登入
  • 備份檔案及目錄
  • 以批次工作登入
  • 還原檔案及目錄
  • 關閉系統
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Cert Publishers

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 允許此群組的成員將憑證發佈至目錄。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

憑證服務 DCOM 存取

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 如果憑證服務安裝在域控制器上（不建議），此群組會授與網域使用者和網域計算機的DCOM註冊存取權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

可複製的網域控制站

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 此群組的成員可能是域控制器的複製。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本中的 Active Directory。

Cryptographic Operators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 成員有權執行密碼編譯作業。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Debugger Users

• 默認容器、群組範圍和類型： 這既不是預設群組，也不是內建群組，但在 AD DS 中出現時，是進一步調查的原因。
• 描述和預設用戶權力： 調試程式使用者群組的存在表示偵錯工具已在某個時間點安裝在系統上，無論是透過Visual Studio、SQL、Office或其他需要和支援偵錯環境的應用程式。 此群組允許遠端偵錯存取計算機。 當這個群組存在於網域層級時，表示已在域控制器上安裝包含調試程式的調試程式或應用程式。

被拒絕的 RODC 密碼複寫群組

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組中的成員無法將其密碼複寫至網域中的任何只讀域控制器。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

DHCP Administrators

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組的成員具有 DHCP 伺服器服務的系統管理存取權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

DHCP Users

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組的成員只能存取 DHCP 伺服器服務。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

分散式 COM 使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 允許此群組的成員在此計算機上啟動、啟動及使用分散式 COM 物件。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

DnsAdmins

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組的成員具有 DNS 伺服器服務的系統管理存取權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

DnsUpdateProxy

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 此群組的成員是允許代表無法自行執行動態更新之用戶端的 DNS 用戶端。 此群組的成員通常是 DHCP 伺服器。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Domain Admins

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 網域的指定系統管理員;Domain Admins 是每個已加入網域的計算機本機 Administrators 群組的成員，除了網域的 Administrators 群組之外，還會收到授與給本機 Administrators 群組的許可權和許可權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 調整處理程序的記憶體配額
  • 允許本機登入
  • 允許透過遠端桌面服務登入
  • 備份檔案及目錄
  • 略過周遊檢查
  • 變更系統時間
  • 變更時區
  • 建立分頁檔
  • 建立全域物件
  • 建立符號連結
  • Debug programs
  • 讓電腦及使用者帳戶受信賴，以進行委派
  • 強制從遠端系統進行關閉
  • 在驗證後模擬用戶端
  • 增加處理程序工作組
  • 增加排程優先順序
  • 載入及解除載入裝置驅動程式
  • 以批次工作登入
  • 管理稽核及安全性記錄檔
  • 修改韌體環境值
  • 執行磁碟區維護工作
  • 監視單一處理程序
  • 監視系統效能
  • 從銜接站移除電腦
  • 還原檔案及目錄
  • 關閉系統
  • 取得檔案或其他物件的擁有權

Domain Computers

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 加入網域的所有工作站和伺服器預設都是此群組的成員。
• 默認直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Domain Controllers

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 網域中的所有域控制器。 注意：域控制器不是 Domain Computers 群組的成員。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Domain Guests

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 網域中的所有來賓
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Domain Users

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 網域中的所有使用者
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Enterprise Admins

• 默認容器、群組範圍和類型： 使用者容器、通用安全組
• 描述和預設用戶權力： 企業系統管理員有權變更整個樹系的組態設定;Enterprise Admins 是每個網域的 Administrators 群組成員，並接收授與給該群組的許可權和許可權。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 調整處理程序的記憶體配額
  • 允許本機登入
  • 允許透過遠端桌面服務登入
  • 備份檔案及目錄
  • 略過周遊檢查
  • 變更系統時間
  • 變更時區
  • 建立分頁檔
  • 建立全域物件
  • 建立符號連結
  • Debug programs
  • 讓電腦及使用者帳戶受信賴，以進行委派
  • 強制從遠端系統進行關閉
  • 在驗證後模擬用戶端
  • 增加處理程序工作組
  • 增加排程優先順序
  • 載入及解除載入裝置驅動程式
  • 以批次工作登入
  • 管理稽核及安全性記錄檔
  • 修改韌體環境值
  • 執行磁碟區維護工作
  • 監視單一處理程序
  • 監視系統效能
  • 從銜接站移除電腦
  • 還原檔案及目錄
  • 關閉系統
  • 取得檔案或其他物件的擁有權
• 附註：僅存在於樹系根網域中。

企業唯讀網域控制站

• 默認容器、群組範圍和類型： 使用者容器、通用安全組
• 描述和預設用戶權力： 此群組包含樹系中所有唯讀域控制器的帳戶。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

事件記錄檔讀取器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 中的此群組成員可以讀取域控制器上的事件記錄檔。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

群組原則創建者擁有者

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 此群組的成員可以在網域中建立和修改組策略物件。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Guest

• 默認容器、群組範圍和類型： 使用者容器，不是群組
• 描述和預設用戶權力： 這是 AD DS 網域中唯一沒有將已驗證使用者 SID 新增至其存取令牌的帳戶。 因此，設定為授與已驗證使用者群組存取權的任何資源將無法存取此帳戶。 此行為不適用於網域來賓和來賓群組的成員，不過，這些群組的成員確實已將已驗證的使用者 SID 新增至其存取令牌。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 略過周遊檢查
  • 增加處理程序工作組

Guests

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 根據預設，來賓具有與使用者群組成員相同的存取權，但來賓帳戶除外，其進一步受到限制，如先前所述。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Hyper-V Administrators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可完整且不受限制地存取 Hyper-V 的所有功能。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。

IIS_IUSRS

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： Internet Information Services 所使用的內建群組。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

傳入樹系信任產生器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以建立此樹系的傳入單向信任。 （為企業系統管理員保留輸出樹系信任的建立。此群組的成員可以建立連入信任，以允許 TGT 委派，這可能會導致樹系遭到入侵。 若要深入瞭解跨傳入信任的 TGT 委派，請參閱 Windows Server 中關於跨傳入信任的 TGT 委派更新。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：僅存在於樹系根網域中。

Krbtgt

• 默認容器、群組範圍和類型： 使用者容器，不是群組
• 描述和預設用戶權力： Krbtgt 帳戶是網域中 Kerberos 金鑰發佈中心的服務帳戶。 此帳戶可存取儲存在 Active Directory 中的所有帳戶認證。 默認會停用此帳戶，且絕不應啟用
• 用戶權利： 不適用

網路設定操作員

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員獲授與許可權，可讓他們管理網路功能的組態。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

效能記錄使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以排程性能計數器的記錄、啟用追蹤提供者，以及透過遠端存取電腦收集事件追蹤。
• 直接使用者權力：
  • 以批次工作登入
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

效能監視器使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以在本機和遠端存取性能計數器數據。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Windows 2000 前相容存取

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組存在於 Windows 2000 Server 之前與作系統的回溯相容性，並且提供成員讀取網域中使用者和群組資訊的能力。
• 直接使用者權力：
  • 從網路存取這台電腦
  • 略過周遊檢查
• 繼承的用戶權力：
  • 將工作站新增至網域
  • 增加處理程序工作組

Print Operators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以管理網域印表機。
• 直接使用者權力：
  • 允許本機登入
  • 載入及解除載入裝置驅動程式
  • 關閉系統
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

RAS 與 IAS 伺服器

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組中的伺服器可以在網域中的用戶帳戶上讀取遠端訪問屬性。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

RDS 端點伺服器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組中的伺服器會執行使用者 RemoteApp 程式和個人虛擬桌面執行所在的虛擬機和主機會話。 必須在執行 RD 連線代理人的伺服器上設定此群組。 部署中使用的 RD 工作階段主機伺服器和 RD 虛擬化主機伺服器必須位於此群組中。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。

RDS 管理伺服器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組中的伺服器可以在執行遠端桌面服務的伺服器上執行例行的系統管理動作。 必須在遠端桌面服務部署中的所有伺服器上填入此群組。 執行 RDS 中央管理服務的伺服器必須包含在此群組中。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。

RDS 遠端存取伺服器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組中的伺服器可讓 RemoteApp 程式和個人虛擬桌面的使用者存取這些資源。 在因特網對向部署中，這些伺服器通常會部署在邊緣網路中。 必須在執行 RD 連線代理人的伺服器上設定此群組。 部署中使用的 RD 閘道伺服器和 RD Web 存取伺服器必須位於此群組中。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。

唯讀域控制器

• 默認容器、群組範圍和類型： 使用者容器、全域安全組
• 描述和預設用戶權力： 此群組包含網域中的所有唯讀域控制器。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

遠端桌面使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員有權使用 RDP 從遠端登入。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

遠端管理使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以透過管理通訊協定存取 WMI 資源（例如透過 Windows 遠端管理服務 WS-Management）。 這只適用於授與使用者存取權的 WMI 命名空間。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。

Replicator

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 支援網域中的舊版檔案複寫。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

Schema Admins

• 默認容器、群組範圍和類型： 使用者容器、通用安全組
• 描述和預設用戶權力： 架構管理員是唯一可以修改 Active Directory 架構的使用者，而且只有在架構已啟用寫入時。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：僅存在於樹系根網域中。

Server Operators

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以管理域控制器。
• 直接使用者權力：
  • 允許本機登入
  • 備份檔案及目錄
  • 變更系統時間
  • 變更時區
  • 強制從遠端系統進行關閉
  • 還原檔案及目錄
  • 關閉系統
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

終端機伺服器授權伺服器

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以使用授權發行的相關信息來更新 Active Directory 中的用戶帳戶，以便追蹤和報告 TS Per User CAL 使用量
• 默認直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

使用者

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 使用者具有許可權可讓他們讀取 Active Directory 中的許多物件和屬性，但無法變更大部分。 使用者無法進行意外或刻意的全系統變更，而且可以執行大部分的應用程式。
• 直接使用者權力：
  • 增加處理程序工作組
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查

Windows 授權存取群組

• 默認容器、群組範圍和類型： 內建容器，網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以存取User物件上的計算 TokenGroupsGlobalAndUniversal 屬性
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組

WinRMRemoteWMIUsers_

• 默認容器、群組範圍和類型： 使用者容器、網域本機安全組
• 描述和預設用戶權力： 此群組的成員可以透過管理通訊協定存取 WMI 資源（例如透過 Windows 遠端管理服務 WS-Management）。 這只適用於授與使用者存取權的 WMI 命名空間。
• 直接用戶權力： 沒有
• 繼承的用戶權力：
  • 從網路存取這台電腦
  • 將工作站新增至網域
  • 略過周遊檢查
  • 增加處理程序工作組
• 附註：Windows Server 2012 和更新版本。