本文討論預設的 Active Directory 安全性群組、群組範圍和群組功能。
Active Directory 中的安全組是什麼?
Active Directory 有兩種形式的通用安全性主體:使用者帳戶和電腦帳戶。 這些帳戶代表實體實體,即人或電腦。 使用者帳戶也可用來作為某些應用程式的專用服務帳戶。
安全性群組是將使用者帳戶、電腦帳戶和其他群組收集成可管理單位的方式。
在 Windows Server 作業系統 (OS) 中,已預先設定數個內建帳戶和安全群組,賦予它們適當的權限以執行特定任務。 在 Active Directory 中,系統管理責任分為兩種類型的系統管理員:
- 服務管理員:負責維護和交付 Active Directory 網域服務 (AD DS),包括管理網域控制站和設定 AD DS
- 資料系統管理員:負責維護儲存在 AD DS 以及網域成員伺服器和工作站上的資料
Active Directory 安全性群組的運作方式
您可以使用群組將使用者帳戶、電腦帳戶和其他群組收集到可管理的單位中。 使用群組而非個別使用者,可協助您簡化網路維護和管理。
Active Directory 有兩種類型的群組:
- 安全性群組:用來指派共用資源的許可權。
- 通訊群組:用於建立電子郵件通訊群組清單。
安全性群組
安全性群組可以提供有效率的方式,以指派對您網路上資源的存取權。 使用安全性群組可讓您:
指派使用者權利給 Active Directory 中的安全性群組。
您可以將使用者權限指派給安全性群組,以判斷該群組的成員可以在網域或樹系範圍內執行哪些動作。 安裝 Active Directory 時,使用者權限會自動指派給某些安全性群組,以協助系統管理員定義使用者在網域中的系統管理角色。
例如,您新增至 Active Directory 中 [備份操作員] 群組的使用者可以備份和還原位於網域中每個網域控制站上的檔案和目錄。 使用者可以完成這些動作,因為根據預設,使用者權限備份檔案和目錄和還原檔案和目錄會自動指派給備份操作員群組。 因此,此群組的成員會繼承指派給該群組的使用者權限。
您可以使用群組原則將使用者權限指派給安全性群組,以委派特定工作。 如需使用群組原則的詳細資訊,請參閱使用者權限指派。
指派資源的權限給安全性群組。
權限與使用者權限有所不同。 權限會指派給共用資源的安全性群組。 權限可決定誰可以存取資源及存取層級,例如「完全控制」或「讀取」。 系統會自動指派網域物件上所設定的某些權限,以允許預設安全性群組 (如帳戶操作員群組或網域管理員群組) 的各種存取層級。
安全性群組會列在任意存取控制清單 (DACL) 中,以定義資源和物件的許可權。 當系統管理員指派檔案共用或印表機等資源的權限時,他們應該將這些權限指派給安全性群組,而不是指派給個別使用者。 權限會指派一次給群組,而不是多次指派給每位個別使用者。 新增至群組的每個帳戶都會收到指派給 Active Directory 中該群組的權限。 使用者會收到針對該群組定義的權限。
您可以使用安全性群組作為電子郵件實體。 將電子郵件訊息傳送給安全性群組時,該訊息也會傳送給群組中的所有成員。
發佈群組
您可以僅使用通訊群組,以使用 Exchange Server 之類的電子郵件應用程式,將電子郵件傳送給使用者集合。 通訊群組未啟用安全性,因此您無法將其包含在 DACL 中。
群組範圍
每個群組都有一個範圍,可識別群組在網域樹狀結構或樹系中套用的範圍。 群組的範圍會定義可授與群組許可權的網路區域。 Active Directory 會定義下列三個群組範圍:
- Universal
- Global
- 網域本機
Note
除了這三個範圍之外,內建容器中的預設群組還有內建本機的群組範圍。 無法變更此群組範圍和群組類型。
下表描述這三個群組範圍,及其如何作為安全性群組運作:
| Scope | 可能的成員 | 範圍轉換 | 可以授與權限 | 可能的成員 |
|---|---|---|---|---|
| Universal | 來自相同樹系內任何網域的帳號 來自相同樹系中任何網域的全域群組 來自相同樹系中任何網域的其他通用群組 |
如果群組不是其他任何通用群組的成員,則可以轉換為域本地範圍。 如果群組不包含任何其他通用群組,則可以轉換為全域範圍 |
在相同樹系或信任樹系內的任何網域上 | 相同樹系中的其他通用群組 在相同樹系或信任的樹系中的網域本機群組 信任樹系或同一樹系中電腦上的本地群組 |
| Global | 來自相同網域的帳戶 來自相同網域的其他全域群組 |
如果群組不是任何其他全域群組的成員,則可以轉換成通用範圍 | 在相同網域樹系中的任何網域上,或受信任的網域或林系 | 來自相同樹系中任何網域的通用群組 來自相同網域的其他全域群組 網域 來自相同樹系中任何網域或任何信任網域的本機群組 |
| 網域本機 | 來自任何網域或任何受信任網域的帳戶 來自任何網域或任何受信任網域的全域群組 來自相同樹系中任何網域的通用群組 來自相同網域的其他網域本機群組 來自其他樹系和外部網域的帳戶、全域群組和通用群組 |
如果群組不包含任何其他網域本機群組,則可以轉換成通用範圍 | 在同一網域內 | 來自相同網域的其他本機網域群組 相同網域中電腦上的本機群組,不包括具有已知安全性識別碼 (SID) 的內建群組 |
特殊身分識別群組
特殊身分群組是將某些特殊身分分組在一起的地方。 特殊身分識別群組沒有您可以修改的特定成員資格,但它們可以視情況在不同時間代表不同的使用者。 這些群組包括 [建立者擁有者]、[批次] 和 [已驗證的使用者]。
如需詳細資訊,請參閱特殊身分識別群組。
預設安全性群組
Domain Admins 群組等預設群組是在您建立 Active Directory 網域時自動建立的安全性群組。 這些預先定義的群組可協助您控制共用資源的存取權,並委派特定的全網域系統管理角色。
許多預設群組會自動指派一組使用者權限。 這些權限授權群組成員在網域中執行特定動作,例如登入本機系統或備份檔案和資料夾。 例如,備份操作員群組的成員可以執行網域中所有網域控制站的備份操作。
當您將使用者新增至群組時,使用者會收到指派給群組的所有使用者權限,包括針對任何共用資源指派給群組的所有權限。
預設群組位於 Active Directory 使用者和電腦工具的內建容器或使用者容器中。 內建容器包含以網域本機範圍定義的群組。 使用者容器中包含以全域範圍定義的群組,以及以網域本機範圍定義的群組。 您可以將位於這些容器中的群組移至網域內的其他群組或機構單位。 但您無法將它們移至其他網域。
本文所列的一些系統管理群組和這些群組的所有成員都會受到定期檢查並套用特定安全性描述元的背景程序所保護。 此描述元是資料結構,其包含與受保護物件相關聯的安全性資訊。 此程序可確保修改其中一個系統管理帳戶或群組上的安全性描述元的任何成功的未經授權嘗試,都會使用受保護的設定來覆寫。
該安全性描述元存在於 AdminSDHolder 物件上。 如果您想要修改其中一個服務管理員群組或其任何成員帳戶上的權限,您必須修改 AdminSDHolder 物件上的安全性描述元,因此其會一致套用。 進行這些修改時請小心,因為您也會變更套用至所有受保護系統管理帳戶的預設設定。
每個預設安全群組都有一個由多個元件組成的唯一識別碼。 這些元件中有一個相對 ID (RID),它在群組的網域中是唯一的。
預設 Active Directory 安全性群組
下列連結會引向位於 Active Directory 中內建容器或 [使用者] 容器中的預設群組描述。
- 存取控制協助操作員
- 帳戶操作員
- Administrators
- 允許的 RODC 密碼複寫
- 備份操作員
- 憑證服務 DCOM 存取
- 憑證發行者
- 可複製的網域控制站
- 密碼運算子
- 拒絕的 RODC 密碼複寫
- 裝置擁有者
- DHCP 管理員
- DHCP 使用者
- 分散式 COM 使用者
- DnsUpdateProxy
- DnsAdmins
- 網域管理員
- 網域電腦
- 網域控制站
- 網域訪客
- 網域使用者
- 企業管理員
- 企業金鑰管理員
- 企業唯讀網域控制站
- 事件記錄檔讀取者
- 群組原則建立者擁有者
- Guests
- Hyper-V 管理員
- IIS_IUSRS
- 傳入的樹系信任產生器
- 主要管理員
- 網路設定操作員
- 效能記錄使用者
- 效能監視器使用者
- Windows 2000 發行前版本相容存取
- 列印操作員
- 受保護的使用者
- RAS 與 IAS 伺服器
- RDS 端點伺服器
- RDS 管理伺服器
- RDS 遠端存取伺服器
- 唯讀網域控制站
- 遠端桌面使用者
- 遠端管理使用者
- Replicator
- 架構管理員
- 伺服器營運商
- 儲存體複本系統管理員
- 系統受控帳戶
- 終端機伺服器授權伺服器
- Users
- Windows 授權存取
- WinRMRemoteWMIUsers__
存取控制協助操作員
此群組的成員可以從遠端查詢此電腦上資源的授權屬性和權限。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-579 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
帳戶管理員
帳戶操作員群組會將有限的帳戶建立權限授與使用者。 此群組的成員可以建立和修改大部分類型的帳戶,包括使用者的帳戶、本機群組和全域群組。 群組成員可以在本機登入網域控制器。
帳戶操作員群組的成員無法修改用戶權力。 此外,此群組的成員無法管理下列帳戶和群組:
- 系統管理員用戶帳戶
- 系統管理員的用戶帳戶
- Administrators
- 伺服器營運商
- 帳戶操作員
- 備份操作員
- 列印操作員
此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-548 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 允許本機登入:SeInteractiveLogonRight |
Administrators
系統管理員群組的成員擁有電腦的完整且不受限制的存取權。 如果電腦升級為網域控制站,則系統管理員群組的成員對網域具有不受限制的存取權。
Note
系統管理員群組具有內建功能,可讓其成員完全控制系統。 此群組無法重新命名、刪除或移除。 此內建群組可控制其網域中所有網域控制站的存取權,且可以變更所有系統管理群組的成員資格。 下列群組的成員可以修改系統管理員群組成員資格:預設服務管理員、網域中的網域管理員,以及企業管理員。 此群組具有特殊權限,可取得目錄中任何物件的擁有權,或網域控制站上的任何資源。 此群組會被視為服務系統管理員群組,因為其成員具有網域中網域控制站的完整存取權。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-544 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | 管理員、 網域管理員、 企業管理員 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
調整處理序的記憶體配額:SeIncreaseQuotaPrivilege 從網路存取這台電腦:SeNetworkLogonRight 允許本機登入:SeInteractiveLogonRight 允許透過遠端桌面服務登入:SeRemoteInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 略過周遊檢查:SeChangeNotifyPrivilege 變更系統時間:SeSystemTimePrivilege 變更時區:SeTimeZonePrivilege 建立分頁檔:SeCreatePagefilePrivilege 建立全域物件:SeCreateGlobalPrivilege 建立符號連結:SeCreateSymbolicLinkPrivilege 偵錯程式:SeDebugPrivilege 讓電腦及使用者帳戶受信賴,以進行委派:SeEnableDelegationPrivilege 強制從遠端系統關閉:SeRemoteShutdownPrivilege 在驗證之後模擬用戶端:SeImpersonatePrivilege 增加排程優先順序:SeIncreaseBasePriorityPrivilege 載入和卸載裝置驅動程式:SeLoadDriverPrivilege 以批次作業登入:SeBatchLogonRight 管理稽核和安全性記錄:SeSecurityPrivilege 修改韌體環境值:SeSystemEnvironmentPrivilege 執行磁碟區維護工作:SeManageVolumePrivilege 設定檔系統效能:SeSystemProfilePrivilege 設定檔單一處理程序:SeProfileSingleProcessPrivilege 從銜接站移除電腦:SeUndockPrivilege 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege 取得檔案或其他物件的擁有權:SeTakeOwnershipPrivilege |
允許的 RODC 密碼複寫
此安全性群組的目的是管理唯讀網域控制站 (RODC) 密碼複寫原則。 依預設,此群組沒有成員。 因此,新的 RODC 不會儲存使用者的認證資料。 拒絕的 RODC 密碼複寫群組包含各種高權限帳戶和安全性群組。 拒絕的 RODC 密碼複寫群組會取代允許的 RODC 密碼複寫群組。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-571<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users DC=<domain>, DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | 是,尤其是委派給使用精細密碼原則的自訂群組時 |
| 預設使用者權限 | None |
備份操作員
不論保護這些檔案的權限是什麼,備份操作員群組的成員都可以備份及還原電腦上所有的檔案。 備份操作員也可以登入並關閉電腦。 此群組無法重新命名、刪除或移除。 根據預設,此內建群組沒有成員,且可以在網域控制站上執行備份和還原作業。 下列群組的成員可以修改備份操作員群組成員資格:預設服務管理員、網域中的網域管理員和企業管理員。 備份操作員群組的成員無法修改任何系統管理群組的成員資格。 雖然此群組的成員無法變更伺服器設定或修改目錄的組態,但它們確實具有取代域控制器上檔案(包括 OS 檔案)所需的許可權。 因為此群組的成員可以取代網域控制站上的檔案,所以他們會被視為服務系統管理員。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-551 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
允許本機登入:SeInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 以批次作業登入:SeBatchLogonRight 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege |
憑證服務 DCOM 存取
此群組的成員可以連線至企業中的憑證授權單位。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-domain-574<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | |
| 預設使用者權限 | None |
證書發行商
憑證發行者群組的成員有權在 Active Directory 中發佈使用者物件的憑證。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-517<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
可複製的網域控制站
可複製域控制器群組中的成員,若為域控制器,則可以被複製。 在 Windows Server 2012 R2 和 Windows Server 2012 中,您可以複製現有的虛擬網域控制站來部署網域控制站。 在虛擬環境中,您無法重複部署使用工具 Sysprep.exe 所準備的伺服器映像。 也不允許將伺服器升級至網域控制站,然後完成部署每個網域控制站的更多設定需求 (包括將虛擬網域控制站新增至此安全性群組)。 此群組無法重新命名、刪除或移除。
如需詳細資訊,請參閱安全地將 Active Directory Domain Services (AD DS) 虛擬化。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-522<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
密碼編譯運算符
此群組的成員被授權執行加密編譯作業。 此安全性群組會在通用準則模式中設定 IPsec 的 Windows 防火牆。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-569 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
拒絕的 RODC 密碼複寫
拒絕的 RODC 密碼複寫群組成員的密碼無法複寫到任何 RODC。
此安全性群組的目的是要管理 RODC 密碼複寫原則。 此群組包含各種高權限帳戶和安全性群組。 拒絕的 RODC 密碼複寫群組會取代允許的 RODC 密碼複寫群組。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-572<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 憑證發行者 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | 是,尤其是委派給使用精細密碼原則的自訂群組時 |
| 預設使用者權限 | None |
裝置擁有者
當裝置擁有者群組沒有成員時,建議您不要變更此安全性群組的預設設定。 變更預設設定可能會妨礙未來依賴於此群組的案例。 裝置擁有者群組目前未用於 Windows。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-583 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 是的,但不推薦 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
允許本機登入:SeInteractiveLogonRight 從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege 變更時區:SeTimeZonePrivilege |
DHCP 系統管理員
DHCP 系統管理員群組的成員可以建立、刪除及管理伺服器範圍的各個區域。 群組權限包括備份和還原動態主機配置協定 (DHCP) 資料庫的能力。 雖然此群組具有系統管理權限,但不是系統管理員群組的一部分,因為此角色僅限於 DHCP 服務。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | Users |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 是的,但不推薦 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
DHCP 使用者
DHCP 使用者群組的成員可以查看哪些範圍處於作用中或非作用中狀態,包括指派的 IP 位址。 如果 DHCP 伺服器設定不正確,群組成員也可以檢視連線問題。 此群組僅限於 DHCP 伺服器的唯讀存取權。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain<> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | Users |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 是的,但不推薦 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
分散式 COM 使用者
分散式 COM 使用者群組的成員可以在電腦上啟動、啟用及使用分散式元件物件模型 (DCOM) 物件。 Microsoft 元件物件模型 (COM) 是一種與平台無關的分散式物件導向系統,用於建立可以互動的二進位軟體元件。 當您使用 DCOM 物件時,您可以將應用程式散發到對您和應用程式最有意義的位置。 此群組會顯示為 SID,直到網域控制站成為主要網域控制站,而且它持有作業主機角色,也稱為 彈性單一主機作業 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-562 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | |
| 預設使用者權限 | None |
DnsUpdateProxy
DnsUpdateProxy 群組的成員是網域名稱系統 (DNS) 用戶端。 他們可以代表其他用戶端執行動態更新,例如 DHCP 伺服器。 當 DHCP 伺服器設定為使用動態更新來代表 DHCP 用戶端動態註冊主機 (A) 和指標 (PTR) 資源記錄時,DNS 伺服器可能會產生過時的資源記錄。 將用戶端新增至此安全性群組可減輕此案例。
若要防止不安全的記錄,或允許 DnsUpdateProxy 群組的成員在只允許安全動態更新的區域中註冊記錄,您必須建立專用的使用者帳戶。 您也必須設定 DHCP 伺服器,以使用此帳戶的使用者名稱、密碼和網域來執行 DNS 動態更新。 多個 DHCP 伺服器可以使用一個專用使用者帳戶的認證。 只有當 DNS 伺服器角色目前或曾經安裝在網域中的網域控制站上時,才會存在此群組。
如需詳細資訊,請參閱 DNS 記錄擁有權和 DnsUpdateProxy 群組。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<網域>變數<RID> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | |
| 預設使用者權限 | None |
DnsAdmins
DnsAdmins 群組的成員可以存取網路 DNS 資訊。 依預設,此群組的成員會獲指派下列允許權限:「讀取」、「寫入」、「建立所有子物件」、「刪除子物件」和「特殊權限」。 只有當 DNS 伺服器角色目前或曾經安裝在網域中的網域控制站上時,才會存在此群組。
如需安全性和 DNS 的詳細資訊,請參閱 Windows Server 2012 中的 DNSSEC。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<網域>變數<RID> |
| 類型 | 內建的本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
網域管理員
網域管理員安全性群組的成員有權管理網域。 根據預設,Domain Admins 群組是加入網域之所有電腦上的 Administrators 群組成員,包括域控制器。 Domain Admins 群組是群組的任何成員在 Active Directory 中為網域建立的任何物件的預設擁有者。 如果群組的成員建立其他物件 (例如檔案),則預設擁有者是系統管理員群組。
網域管理員群組可控制網域中所有網域控制站的存取權,且可以修改網域中所有系統管理帳戶的成員資格。 其網域中服務管理員群組的成員 (系統管理員和網域管理員) 和企業管理員群組的成員可以修改網域管理員成員資格。 此群組會被視為服務系統管理員帳戶,因為其成員具有網域中網域控制站的完整存取權。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-512<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 系統管理員 |
| 下列群組的預設成員 | Administrators |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 參見 管理員 |
網域電腦
此群組可以包含加入網域的所有計算機和伺服器,不包括域控制器。 根據預設,任何建立的電腦帳戶都會自動成為此群組的成員。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-515<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 已加入網域的所有電腦,不包括網域控制站 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 是,但不是必需的 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
網域控制器
網域控制站群組可以包含網域中的所有網域控制站。 新的網域控制站會自動新增至此群組。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-516<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 網域中所有網域控制站的電腦帳戶 |
| 下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
網域來賓
網域訪客群組包含網域的內建訪客帳戶。 當此群組的成員以已加入網域電腦上的本機來賓身分登入時,系統會在本機電腦上建立網域設定檔。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<域>-514 |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 訪客 |
| 下列群組的預設成員 | Guests |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 是的,但不推薦 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 見 訪客 |
網域使用者
網域使用者群組包含網域中的所有使用者帳戶。 當您在網域中建立用戶帳戶時,預設會新增至此群組。
您可以使用此群組來代表網域中的所有使用者。 例如,如果您希望所有網域使用者都能存取印表機,您可以將印表機的權限指派給此群組。 或者,您可以將 [網域使用者] 群組新增至列印伺服器上具有印表機權限的本機群組。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-513<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 系統管理員 |
| 下列群組的預設成員 | Users |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 查看 用戶 |
企業管理員
Enterprise Admins 群組僅存在於網域的 Active Directory 樹系的根網域中。 如果網域處於原生模式,則群組是通用群組。 如果網域處於混合模式,則群組是全域群組。 此群組的成員有權在 Active Directory 中進行樹系範圍的變更,例如新增子網域。
根據預設值,群組的唯一成員是樹系根網域的系統管理員帳戶。 此群組會自動新增至樹系中每個網域中的系統管理員群組,並提供設定所有網域控制站的完整存取權。 此群組中的成員可以修改所有系統管理群組的成員資格。 根網域中預設服務管理員群組的成員可以修改企業管理員成員資格。 此群組會被視為服務管理員帳戶。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-root< domain-519> |
| 類型 | 如果網域處於原生模式,則為通用;否則為全域 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 系統管理員 |
| 下列群組的預設成員 | Administrators |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 參見 管理員 |
企業密鑰管理員
此群組的成員可以在樹系內的主要物件上執行系統管理動作。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-527<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
企業唯讀網域控制站
此群組的成員是企業中的 RODC。 RODC 保留了由可寫入網域控制站保留的一切 Active Directory 物件及屬性,但帳戶密碼除外。 不過,您無法對儲存於 RODC 上的資料庫進行變更。 變更必須在可寫入的網域控制站上進行,然後複寫至 RODC。
RODC 解決了分公司中常見的一些問題。 這些位置可能沒有網域控制站,或者他們可能有可寫入的網域控制站,但沒有實體安全性、網路頻寬或本機專業知識來提供支援。
如需詳細資訊,請參閱 什麼是 RODC?。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-root< domain-498> |
| 類型 | Universal |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | N/A |
| 預設使用者權限 | None |
事件記錄檔讀取器
此群組的成員可以從本機電腦讀取事件記錄檔。 當伺服器升級為網域控制站時,就會建立群組。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-573 |
| 類型 | 網域本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
群組原則創建者擁有者
此群組已獲授權在網域中建立、編輯及刪除群組原則物件。 根據預設,群組的唯一成員是系統管理員。
如需您可以搭配此安全性群組使用之其他功能的詳細資訊,請參閱群組原則概觀。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-520<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 系統管理員 |
| 下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
Guests
依預設,「來賓」和「使用者」群組的成員具有類似的存取權。 不同之處在於訪客帳戶有進一步的限制。 依預設,訪客群組的唯一成員是訪客帳戶。 訪客群組可讓偶爾或一次性使用者以有限的權限登入電腦的內建訪客帳戶。
當來賓群組的成員登出時,系統會刪除整個設定檔。 設定檔刪除包括目錄中 %userprofile% 儲存的所有內容,包括使用者的登錄配置區資訊、自訂桌面圖示和其他使用者特定設定。 此事實表示來賓必須使用暫存設定檔登入系統。 此安全性群組會與下列群組原則設定互動: 請勿使用暫存設定檔登入使用者。 若要存取此設定,請開啟 [群組原則管理] 編輯器,然後移至 [電腦設定>系統管理範本]>> 系統使用者配置檔。
Note
來賓帳戶是來賓安全性群組的預設成員。 在網域中沒有實際帳戶的人員可以使用來賓帳戶。 帳戶被停用 (但未刪除) 的使用者也可以使用 Guest 帳戶。 來賓帳戶不需要密碼。 您可以為來賓帳戶設定權利及權限 (就像任何使用者帳戶一樣)。 根據預設值,來賓帳戶是內建來賓群組與網域來賓全域群組的成員,可允許使用者登入網域。 Guest 帳戶預設為停用,建議將它保持為停用。
此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-546 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | 網域訪客 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
Hyper-V 系統管理員
Hyper-V 系統管理員群組的成員對於 Hyper-V 中的所有功能具有完整與不受限制的存取權。 將成員新增至此群組有助於減少系統管理員群組中所需的成員數目,並進一步分隔存取權。 此群組無法重新命名、刪除或移除。
Note
在 Windows Server 2012 之前,系統管理員群組成員資格會受到控制,並可存取 Hyper-V 功能。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-578 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Hyper-V 系統管理員服務不應該在網域控制站上使用。 群組應該是空的。 |
| 預設使用者權限 | None |
IIS_IUSRS
IIS_IUSRS 是網際網路資訊服務 (IIS) 所使用的內建群組,從 IIS 7 開始。 OS 可確保每個內建帳戶和群組都有唯一的 SID。 IIS 7 會將 IUSR_MachineName 帳戶和 IIS_WPG 群組取代為 IIS_IUSRS 群組,以確保新帳戶和群組使用的實際名稱永遠不會當地語系化。 例如,無論您安裝的 Windows OS 語言為何,IIS 帳戶名稱都是 IUSR,而且組名是IIS_IUSRS。
如需詳細資訊,請參閱了解 IIS 7中的內建使用者和群組帳戶。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-568 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | IUSR |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
傳入樹系信任產生器
傳入樹系信任群組的建置者成員可以向樹系建立傳入的單向信任。 Active Directory 透過網域和樹系信任關係,提供跨多個網域或樹系的安全性。 在跨信任進行驗證之前,Windows 必須判斷所要求的網域是否由與要求帳戶的登入網域具有信任關係的使用者、電腦或服務所要求。
為了做出此判斷,Windows 安全性系統會計算伺服器網域控制站之間的信任路徑,以接收要求和要求帳戶網域中的網域控制站。 安全通道會透過網域間信任關係延伸至其他 Active Directory 網域。 此安全通道可用來取得和驗證安全性資訊,包括使用者和群組的 SID。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
如需詳細資訊,請參閱 網域和樹系信任的運作方式。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-557 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
金鑰管理員
此群組的成員可以在網域內的主要物件上執行系統管理動作。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<域>-526 |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
網路設定操作員
網路組態操作員群組的成員具有下列系統管理權限,可管理網路功能的組態:
- 修改區域網路 (LAN) 連線的傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 內容,其中包括 IP 位址、子網路遮罩、預設閘道及名稱伺服器
- 重新命名所有使用者可用的 LAN 連線或遠端存取連線
- 啟用或停用 LAN 連線
- 修改使用者所有遠端存取連線的屬性
- 刪除使用者的所有遠端存取連線
- 重新命名使用者的所有遠端存取連線
- 發出
ipconfig、ipconfig /release和 命令ipconfig /renew - 輸入支援 SIM 卡之行動寬頻裝置的 PIN 解除封鎖金鑰 (PUK)
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-556 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
效能記錄使用者
效能記錄使用者群組的成員可以在伺服器本機和遠端用戶端上管理效能計數器、記錄和警示,而不需要是系統管理員群組的成員。 具體而言,此安全性群組的成員:
- 可以使用效能監視器使用者群組可用的所有功能。
- 無法在資料收集器集合中使用 Windows 核心追蹤事件提供者。
Note
在 Windows Server 2016 和更新版本中,效能記錄使用者群組的成員無法建立資料收集器集合。 如果效能記錄使用者群組的成員嘗試建立資料收集器集合,他們會因為存取遭到拒絕而無法完成動作。
為了讓效能記錄使用者群組的成員能初始化資料記錄或修改資料收集器集合工具,必須先將群組指派登入為批次工作使用者權限。 如要指派此使用者權限,請使用 Microsoft 管理主控台 (MMC) 中的 [本機安全性原則] 嵌入式管理單元。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此帳戶無法重新命名、刪除或移動。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-559 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | 以批次作業登入:SeBatchLogonRight |
效能監視器使用者
此群組的成員可以在網域、本機和遠端用戶端的網域控制站上監視效能計數器,而不需要是系統管理員或效能記錄使用者群組的成員。 Windows 效能監視器是 MMC 嵌入式管理單元,可提供用來分析系統效能的工具。 您可以從單一主控台中監視應用程式與硬體效能、自訂要在記錄中收集的資料、定義警示與自動動作的閾值、產生報告,以及用各種方式檢視過去的效能資料。
具體而言,此安全性群組的成員:
- 可以使用使用者群組可用的所有功能。
- 可以在效能監視器中檢視即時效能資料。
- 可以在檢視資料時變更效能監視器顯示屬性。
- 無法建立或修改資料收集器集合。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-558 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
Windows 2000 發行前版本相容存取
Windows 2000 發行前版本相容存取群組的成員具有網域中所有使用者和群組的讀取權限。 此群組提供向下相容性給執行 Windows NT 4.0 和更早版本之電腦。 根據預設,特殊身分識別群組所有人是此群組的成員。 只有在使用者執行 Windows NT 4.0 或更早版本時,才將使用者新增至此群組。
Warning
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。
此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-554 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
從網路存取這台電腦:SeNetworkLogonRight 略過周遊檢查:SeChangeNotifyPrivilege |
列印作業員
此群組的成員可以管理、建立、共用及刪除連線至網域中網域控制站的印表機。 他們也可以管理網域中的 Active Directory 印表機物件。 此群組的成員可以在本機登入和關閉網域中的網域控制站。
此群組沒有預設的成員。 由於此群組的成員可以在網域中的所有網域控制站上載入和卸載裝置驅動程式,因此請謹慎新增使用者。 此群組無法重新命名、刪除或移除。
如需詳細資訊,請參閱在 Windows Server 2012 中指派委派的列印管理員和印表機權限設定。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-550 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
允許本機登入:SeInteractiveLogonRight 載入和卸載裝置驅動程式:SeLoadDriverPrivilege 關閉系統:SeShutdownPrivilege |
受保護的使用者
受保護使用者群組的成員在驗證程序期間有額外的保護,以防止認證遭到入侵。
此安全性群組被設計為可有效保護和管理企業內認證之策略的一部分。 此群組的成員會自動將不可設定的保護套用至其帳戶。 Protected Users 群組中的成員資格預設應該要有限制性和主動防護。 您可以修改帳戶保護的唯一方式,就是從安全性群組中移除帳戶。
此網域相關的全域群組會觸發裝置和主機電腦上的不可設定保護,從 Windows Server 2012 R2 和 Windows 8.1 開始。 它也會在具有執行 Windows Server 2012 R2 或更新版本之主要網域控制站的網域中觸發網域控制站的不可設定保護。 當使用者從不相容的電腦登入網路上的計算機時,此保護可大幅降低認證的記憶體使用量。
視帳戶的網域功能層級而定,由於 Windows 支援的驗證方法的行為變更,受保護使用者群組的成員會進一步受到保護:
- 受保護使用者群組的成員無法使用下列安全性支援提供者 (SSP) 進行驗證:新技術 LAN 管理員 (NTLM) 、摘要驗證或認證安全性支援提供者 (CredSSP) 。 在執行 Windows 10 或 Windows 8.1 的裝置上不會快取密碼。 當帳戶是受保護使用者群組的成員時,裝置無法向網域進行驗證。
- Kerberos 通訊協定不會在預先驗證程式中使用較弱的資料加密標準 (DES) 或 Rivest Cipher 4 (RC4) 加密類型。 網域必須設定為至少支援進階加密標準 (AES) 密碼套件。
- 使用者的帳戶無法配置 Kerberos 限制或不限制的委派權限。 如果使用者是受保護使用者群組的成員,先前與其他系統的連線可能會失敗。
- 您可以使用 Active Directory 系統管理中心中的驗證原則和工作分片,變更預設的 Kerberos 票證授與票證 (TGT) 存留期設定為四小時。 在預設設定中,用戶必須在經過四個小時之後進行驗證。
此群組是在 Windows Server 2012 R2 中引進的。 如需此群組運作方式的詳細資訊,請參閱受保護使用者安全性群組。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<域>-525 |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
RAS 與 IAS 伺服器
當設定正確時,屬於 RAS 和 IAS 伺服器群組成員的電腦可以使用遠端存取服務。 根據預設,此群組沒有成員。 執行路由和遠端存取服務 (RRAS) 和遠端存取服務 (例如因特網驗證服務 (IAS) 和網路原則伺服器) 的電腦會自動新增至群組。 此群組的成員可以存取使用者物件的特定屬性,例如讀取帳戶限制、讀取登入資訊和讀取遠端存取資訊。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-553<> |
| 類型 | 內建的本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
RDS 端點伺服器
屬於 RDS 端點伺服器群組成員的伺服器可以執行虛擬機器,並主持執行 RemoteApp 功能和個人虛擬桌面平台使用者程式的工作階段。 您必須在執行遠端桌面連線代理程式 (RD 連線代理程式) 的伺服器上填入此群組。 部署中使用的會話主機伺服器和遠端桌面虛擬化主機 (RD 虛擬化主機) 伺服器必須在此群組中。 此群組無法重新命名、刪除或移除。
如需遠端桌面服務 (RDS) 的相關信息,請參閱 Windows Server 中的遠端桌面服務概觀。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-576 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | RDS 端點伺服器服務不應該在網域控制站上使用。 群組應該是空的。 |
| 預設使用者權限 | None |
RDS 管理伺服器
您可以使用屬於 RDS 管理伺服器群組成員的伺服器,在執行 RDS 的伺服器上完成例行管理動作。 您必須在 RDS 部署中的所有伺服器上填入此群組。 執行 RDS 中央管理服務的伺服器必須包含在此群組中。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-577 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | RDS 管理伺服器服務不應該在網域控制站上使用。 群組應該是空的。 |
| 預設使用者權限 | None |
RDS 遠端存取伺服器
RDS 遠端存取伺服器群組中的伺服器可讓使用者存取 RemoteApp 功能的程式和個人虛擬桌面。 在網際網路對向部署中,這些伺服器通常會部署在邊緣網路中。 您必須在執行 RD 連線代理程式的伺服器上填入此群組。 部署中使用的遠端桌面閘道 (RD 閘道) 伺服器和遠端桌面 Web 存取 (RD Web 存取) 伺服器必須在此群組中。 此群組無法重新命名、刪除或移除。
如需詳細資訊,請參閱 Windows Server 中的遠端桌面服務概觀。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-575 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | RDS 遠端存取伺服器服務不應該在網域控制站上使用。 群組應該是空的。 |
| 預設使用者權限 | None |
唯讀域控制器
此群組是由網域中的 RODC 所組成。 RODC 可讓組織輕鬆地在無法保證實體安全性的情況下部署域控制器。 一個範例情境是分公司位置,或是存放所有網域密碼的本機儲存,這些密碼被視為主要威脅,例如在外部網路 (Extranet) 或應用程式面向的角色中。
因為您可以將 RODC 的管理委派給網域使用者或安全性群組,所以 RODC 非常適合不應該有屬於 Domain Admins 群組成員的使用者的網站。 RODC 具有下列功能:
- 唯讀 AD DS 資料庫
- 單向複寫
- 認證快取
- 系統管理員角色隔離
- 唯讀 DNS服務
如需詳細資訊,請參閱 瞭解只讀域控制器的規劃和部署。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-domain-521<> |
| 類型 | Global |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | N/A |
| 預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
遠端桌面使用者
您可以使用遠端桌面工作階段主機 (RD 工作階段主機) 伺服器上的遠端桌面使用者群組,授與使用者和群組遠端連線到 RD 工作階段主機伺服器的許可權。 此群組無法重新命名、刪除或移除。 群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-555 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
遠端管理使用者
遠端管理使用者群組的成員可以透過 Windows 遠端管理服務,透過管理 Web 服務 (WS-Management) 等管理通訊協定存取 Windows Management Instrumentation (WMI) 資源。 WMI 資源的存取僅適用於授與使用者存取權的 WMI 命名空間。
使用遠端管理使用者群組可讓使用者透過伺服器管理員主控台來管理伺服器。 使用 WinRMRemoteWMIUsers__ 群組可讓使用者從遠端執行 Windows PowerShell 命令。
此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-580 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | |
| 預設使用者權限 | None |
Replicator
屬於複寫者群組成員的電腦支援網域中的檔案複寫。 Windows Server 會使用檔案複寫服務 (FRS) 來複寫儲存在系統磁碟區資料夾 (sysvol 資料夾) 中的系統原則和登入腳本。 每個網域控制站都會保留 sysvol 資料夾的複本,以供網路用戶端存取。 FRS 也可以複寫分散式檔案系統 (DFS) 的資料,並同步處理 DFS 所定義的複本集中每個成員的內容。 FRS 可以同時複製和維護多部伺服器上的共用檔案和資料夾。 發生變更時,內容會立即在網站內和網站之間的排程進行同步。
Warning
在 Windows Server 2008 R2 中,您無法使用 FRS 來複寫 DFS 資料夾或自訂 (非 sysvol) 資料。 Windows Server 2008 R2 網域控制站在一個使用 FRS 從事 sysvol 資料夾共用資源複寫的網域中,仍然可以使用 FRS 在網域控制站之間複寫 sysvol 資料夾的內容。 不過,Windows Server 2008 R2 伺服器無法使用 FRS 來複寫 sysvol 資料夾共用資源以外的任何複本集內容。 DFS 複寫服務是 FRS 的替代項目。 您可以使用 DFS 複寫來複寫 sysvol 資料夾共用資源、DFS 資料夾和其他自訂 (非 sysvol) 資料的內容。 您應該將所有非 sysvol FRS 複本集移轉至 DFS 複寫。
如需詳細資訊,請參閱下列資源:
此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-552 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
架構管理員
架構管理員群組的成員可以修改 Active Directory 架構。 此群組僅存在於網域的 Active Directory 樹系的根網域中。 如果網域處於原生模式,則此群組是通用群組。 如果網域處於混合模式,則此群組是全域群組。
根據預設值,群組的唯一成員是樹系根網域的系統管理員帳戶。 此群組具有架構的完整系統管理存取權。
根網域中的任何服務管理員群組都可以修改此群組的成員資格。 此群組會被視為服務管理員帳戶,因為其成員可以修改結構描述,以控管整個目錄的結構和內容。
如需詳細資訊,請參閱什麼是 Active Directory 架構?
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<root> domain-518 |
| 類型 | 如果網域處於原生模式,則為通用;否則為全域 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | 系統管理員 |
| 下列群組的預設成員 | 拒絕的 RODC 密碼複寫 |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | 請參閱拒絕的 RODC 密碼複寫 |
伺服器操作員
伺服器操作員群組的成員可以管理網域控制站。 此群組只存在於網域控制站上。 根據預設,此群組沒有成員,且無法重新命名、刪除或移除。 伺服器操作員群組的成員可以採取下列動作:
- 以互動方式登入伺服器
- 建立和刪除網路共享資源
- 停止與啟動服務
- 備份和還原檔案
- 格式化裝置的硬碟
- 關閉裝置
根據預設,這個內建群組沒有成員。 此群組可以存取域控制器上的伺服器組態選項。 其成員資格是透過網域中的系統管理員和網域管理員群組,以及樹系根域中的企業系統管理員群組來控制。 此群組中的成員無法變更任何系統管理群組成員資格。 此群組會被視為服務系統管理員帳戶,因為其成員具有網域控制站的實體存取權。 此群組的成員可以執行備份和還原等維護工作,且可以變更安裝在網域控制站上的二進位檔。 如需群組的預設使用者權限,請參閱下表。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-549 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | Yes |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 |
允許本機登入:SeInteractiveLogonRight 備份檔案和目錄:SeBackupPrivilege 變更系統時間:SeSystemTimePrivilege 變更時區:SeTimeZonePrivilege 強制從遠端系統關閉:SeRemoteShutdownPrivilege 還原檔案和目錄:SeRestorePrivilege 關閉系統:SeShutdownPrivilege |
儲存體複本管理員
儲存體複本系統管理員群組的成員可以完整且不受限制地存取儲存體複本工具的所有功能。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-582 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
系統受控帳戶
系統管理帳戶群組的成員資格由系統自動管理。 此群組包括預設系統管理帳戶 (DSMA),可協助系統功能。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-581 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | Users |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
終端機伺服器授權伺服器
終端機伺服器授權伺服器群組的成員可以使用授權發行的相關資訊來更新 Active Directory 中的使用者帳戶。 此群組可用來追蹤和報告終端機伺服器每使用者用戶端存取授權 (TS 每使用者 CAL) 使用量。 TS 每個使用者的 CAL 給予一位使用者從無限數量的用戶端電腦或裝置存取終端機伺服器執行個體的權利。 此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
如需此安全性群組的詳細資訊,請參閱終端機服務授權伺服器安全性群組設定。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-561 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
使用者
使用者群組的成員無法進行意外或刻意的系統範圍變更。 此群組的成員可以執行大部分的應用程式。 初始安裝 OS 之後,唯一的成員是 [已驗證的使用者] 群組。 當電腦加入網域時,網域使用者群組會新增至電腦上的使用者群組。
使用者可以執行應用程式、使用本機和網路印表機、關閉電腦,以及鎖定電腦等工作。 使用者可以安裝只有在應用程式的安裝程式支援每個使用者安裝時才能使用的應用程式。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-545 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | 已驗證的使用者 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | No |
| 預設使用者權限 | None |
Windows 授權存取
此群組的成員可以存取 tokenGroupsGlobalAndUniversal 使用者物件上的屬性。 此存取權很有用,因為某些應用程式功能會讀取 token-groups-global-and-universal 使用者帳戶物件或 AD DS 中電腦帳戶物件上的 (TGGAU) 屬性。 某些 Win32 函式可讓您更輕鬆地讀取 TGGAU 屬性。 但是,如果呼叫安全性內容無法存取屬性,則讀取此屬性或呼叫讀取此屬性的 API 的應用程式不會成功。 此群組可讓您更輕鬆地授與屬性的讀取存取權。
此群組會顯示為 SID,直到網域控制站成為主要網域控制站,並保留作業主機 (FSMO) 角色。 此群組無法重新命名、刪除或移除。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-32-560 |
| 類型 | 內建的本機 |
| 預設容器 | CN=Builtin、DC=<domain>、DC= |
| 預設成員 | 企業網域控制站 |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | 無法移動 |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | Yes |
| 預設使用者權限 | None |
WinRMRemoteWMIUsers__
從 Windows Server 2012 和 Windows 8 開始,進階安全性設定使用者介面包含 [共用] 索引標籤。此索引標籤會顯示遠端檔案共用的安全性屬性。 若要檢視此資訊,您必須具有下列權限和成員資格:
- 您必須是 WinRMRemoteWMIUsers__ 群組或 BUILTIN\Administrators 群組的成員。
- 您必須擁有檔案共用的讀取權限。
在 Windows Server 2012 中,[拒絕存取時的協助] 功能會將已驗證使用者群組新增至本機 WinRMRemoteWMIUsers__群組。 啟用 [拒絕存取時的協助] 功能時,具有檔案共用讀取權限的所有已驗證使用者都可以檢視檔案共用權限。
Note
WinRMRemoteWMIUsers__ 群組可讓成員從遠端執行 Windows PowerShell 命令。 相反地,您通常會使用遠端管理使用者群組,讓使用者透過使用伺服器管理員主控台來管理伺服器。
| Attribute | Value |
|---|---|
| 已知的 SID/RID | S-1-5-21-<網域>變數<RID> |
| 類型 | 網域本機 |
| 預設容器 | CN=Users,DC=<domain,DC>= |
| 預設成員 | None |
| 下列群組的預設成員 | None |
| 是否受到 AdminSDHolder 保護? | No |
| 是否可從預設容器放心地移出? | Yes |
| 是否可將此群組的管理放心地委派給非服務系統管理員? | |
| 預設使用者權限 | None |