Группа безопасности система: для чего необходима группа безопасности, что входит в состав блока безопасности

15.12.1978
Комментариев нет

Содержание

для чего необходима группа безопасности, что входит в состав блока безопасности

Чтобы автономная система теплоснабжения работала эффективно и без перебоев необходимо установить группу или блок безопасности отопительной системы. Наиболее востребована группа безопасности для отопительной системы закрытого типа. Но многие отопительные котлы оснащены такой безопасностью. В остальных необходимо дополнительно устанавливать ее. Рассмотрим в нашей статье монтаж и состав группы безопасности для системы отопления. 

Содержание:

  1. Для чего необходима группа безопасности
  2. Монтаж
  3. Что входит в состав блока безопасности

Для чего необходима группа безопасности

Раньше, когда еще не выпускались блоки безопасности чтобы дросселировать сильный напор воды использовали дроссельные шайбы для отопительной системы дома. Такое устройство представляло собой диск с отверстием в середине. В такое отверстие помещалась труба. Благодаря этому достигалось гидравлическое повышенное сопротивление. Современные модели оснащают автоматическими регуляторами давления и температуры, то есть блоками безопасности. Если произошла какая-либо авария, то давление в отопительной системе повышается. Вследствие чего происходит поломка отдельных элементов системы или же выход из строя всей системы отопления. Негативно влияет на работу теплоснабжения завоздушивание магистрали. Но если установлена группа безопасности, то такая ситуация предотвращается.

При помощи защитного блока происходит предотвращение образования воздушных пробок, а при аварии снижается давление до пределов нормы.

Группу безопасности часто используют в частных домах, где в качестве отопительного оборудования применяется газовый котел. В такой отопительной системе могут возникать некоторые ситуации:

  1. Погасание пламя на запальнике.
  2. Плохая тяга в дымоходе, в таком случае может возникнуть опасность угара.
  3. В подающем трубопроводе низкое или высокое давление газа.

Все вышеперечисленные ситуации могут привести к затуханию горелке, в результате чего произойдет загазованность помещения.

Если котельная установка устроена уже давно, то обязательно необходимо установить автоматику безопасности газовых котлов. 

При помощи циркуляционного насоса происходит равномерное движение носителя тепла по отопительной системе. Поэтому многие котлы оснащены циркуляционным насосом. 

Монтаж

Современные отопительные котлы имею встроенные блоки безопасности. В основном это котлы настенного типа. В отопительных котлах напольного типа блок безопасности не предусматривается. Соответственно его нужно приобретать отдельно. Предохранительный клапан должен быть установлен выше отопительного котла. Обычно группа безопасности устанавливается в одном месте, так как такое расположение требует меньших затрат. Установить группу безопасности отопления самостоятельно не составит труда. Соблюдая все правила можно с легкостью произвести монтаж всех приборов. 

Перед тем как устанавливать группу безопасности нужно продумать, как будет проводить ее проверка, а также ремонт. А проводить проверку нужно регулярно. Оптимальным вариантом будет такая установка, которая позволит отсоединять все элементы по-отдельности. В таком случае не придется отключать всю систему. 

Устанавливать группу безопасности лучше на трубе подачи на расстоянии 1,5 м от отопительного котла. А шаровые краны необходимо устанавливать за блоком безопасности. Такая установка обеспечит качественную, надежную и долгую работу системы.

Что входит в состав блока безопасности

Чтобы разобраться в работе защитного механизма необходимо узнать, что входит в состав группы безопасности. В эту систему входят несколько элементов. Каждый элемент выполняет определенную работу.

Рассмотрим состав блока безопасности для отопления:

  • Кран Маевского или по-другому он называется воздухоотводчиком автоматического типа. Обычно изготавливают этот прибор из латуни. Кран Маевского используют для удаления воздуха из отопительной системы; 
  • Корпус, который изготавливают из оцинкованной стали;
  • Термометр и манометр. Первый прибор используется для показания температуры, а манометр необходим для определения давления в отопительной системе. Обычно оптимальным давлением для котла отопления является 1,5 атмосфер. Но есть универсальные приборы, которые измеряют температуру и давление. Они называют термоманометры для отопительной системы;
  • Еще одним необходимым элементом является предохранительный клапан. Он дублирует воздухоотводчик. Бывают случаи, когда воздухоотводчик не удаляет воздух автоматически и тогда эту работу выполняет предохранительный клапан. Помимо удаления воздуха клапан выводит лишнюю воду. Изготавливают предохранительный клапан из латуни.

В верхней части корпуса крепятся все защитные элементы. Защитные устройства отдельно установить нельзя. Если один из элементов будет отсутствовать, то эффективно работать оборудование не будет. 

Если термометры и манометры будут установлены, а предохранительный клапан будет отсутствовать, то при повышении давления исправить проблему не получится. Если предохранительный клапан отсутствует, а воздухоотводчик установлен, то лишний воздух будет удаляться из системы, а жидкость, которая перегрелась, останется в корпусе. В таком случае вся отопительная система может выйти из строя. 

Чтобы в помещении поддерживался оптимальный температурный режим необходимо установить гвс и контроллер отопления. Благодаря ему будет контролироваться температура в зависимости от температуры наружного воздуха. 

Читайте также:

Назначение, устройство и монтаж группы безопасности твердотопливного котла

В работе твердотопливных водогрейных котлов есть две особенности: инерционность горения топлива и невозможность точного регулирования тепловыделения. Другими словами, для снижения температуры в топке нужно время, ее невозможно погасить как газовую горелку. При эксплуатации котла часто возникают ситуации, когда теплоноситель уже прогрелся до заданной температуры, давление в системе отопления выросло до рабочего значения, а энергия продолжает выделяться. Это грозит закипанием теплоносителя и резким повышением давления.

В промышленных котельных установках есть сложная система контроля рабочих параметров, обеспечивающая безопасность для теплообменника. За работой оборудования постоянно следит оператор. В бытовом отоплении важна автономность: владелец дома не может находиться в котельной круглосуточно. Чтобы предотвратить выход рабочих параметров за пределы допусков, устанавливается группа безопасности котла.

Содержание:

  1. Что входит в состав группы безопасности?
  2. Сфера применения
  3. Особенности выбора
  4. Требования к установке и эксплуатации
  5. Группы безопасности «Теплодар»

Что входит в состав группы безопасности?

Группа безопасности состоит из клапана сброса избыточного давления, автоматического воздухоотводчика и манометра. Три устройства установлены на одном коллекторе, который обычно делают из стали или латуни.

Автоматический воздухоотводчик

При нагреве теплоносителя растворимость содержащихся в нем примесей, в том числе газообразных, снижается. В результате в теплообменнике выделяются пузырьки газа. Их скопление может привести к образованию воздушных пробок, которые ухудшают условия циркуляции теплоносителя. К попаданию воздуха в систему могут привести ошибки монтажа, например, неправильная врезка крана подпитки или плохая герметичность стыков.

Автоматический воздухоотводчик, расположенный за теплообменником, удаляет пузырьки газа сразу же после их образования и не дает им пройти дальше в систему. Устройство представляет собой нормально закрытый клапан. Оно состоит из камеры и поплавка с иглой, которая перекрывает выпускное отверстие. Когда воздух скапливается в камере и вытесняет воду, поплавок опускается, отверстие открывается. После выхода воздуха клапан возвращается в исходное положение.

Клапан сброса избыточного давления

В процессе нагрева теплоноситель увеличивается в объеме. Для компенсации теплового расширения в системе отопления есть мембранный бак. Но горение твердого топлива может сопровождаться избыточным тепловыделением. Из-за этого объем увеличивается больше расчетного значения, и расширительный бак «не справляется». Одна из таких нештатных ситуаций — закипание котла. В замкнутой системе увеличение объема приводит к росту давления. Трубы и радиаторы, рассчитанные на 7-9 бар, справляются с такими нагрузками, а теплообменник с рабочим давлением 2 или 3 бар может не выдержать.

Клапан сброса избыточного давления, или предохранительный клапан, устанавливают для безопасного удаления излишков теплоносителя из системы. В закрытом положении шток устройства удерживается пружиной, настроенной на определенное усилие. Если давление воды на клапан оказывается выше, он открывается. После сброса теплоносителя пружина возвращает шток в исходное положение.

Манометр

Манометр предназначен для оперативного контроля давления в системе и настройки ее работы. Помимо стандартной градуировки на его индикаторе есть метки, указывающие максимально допустимое давление и рабочий диапазон.

Существует еще одна разновидность группы безопасности котла отопления — консоль для установки расширительного бака. На ее коллекторе имеется дополнительный резьбовой патрубок. Для удобства обслуживания расширительного бака допускается установка промежуточного отсекающего вентиля. Он позволяет демонтировать емкость без слива теплоносителя из системы.

Сфера применения

Описанное выше комплектное изделие нужно далеко не во всех системах отопления. Например, в настенных газовых котлах автоматика безопасности уже есть. Показания манометра и термометра можно вывести на экран панели управления, а предохранительный клапан и воздухоотводчик находятся под панелью. «Начинающие» владельцы настенных котлов часто пугаются, когда через отверстие в нижней части корпуса выходит несколько капель воды. Не все знают, что это — результат срабатывания клапана сброса избыточного давления.

Не нужна группа безопасности и в открытых гравитационных системах отопления. Давление в них никогда не поднимается до небезопасных значений, а воздух выходит через открытый расширительный бак.

В соответствии с правилами безопасной эксплуатации напольных газовых и твердотопливных котлов, подключенных к закрытой системе отопления, группа должна быть обязательно установлена в обвязке. Помимо основной задачи, а именно защиты теплообменника и трубопроводов, она является хорошим средством диагностики неисправностей.

В качестве примера можно привести следующую ситуацию. Рабочее давление при остывшем теплоносителе ниже минимального. Владелец котла включает подпитку, «догоняет» давление, а затем загружает топливо. После прогрева теплоносителя стрелка манометра доходит до максимума, а затем срабатывает предохранительный клапан. Котел работает нормально до полного прогорания загрузки, а затем (после некоторого снижения температуры ситуация повторяется: давление снова ниже минимума. Причина — неправильная работа мембранного бака. Возможно два варианта:

  • Разрушена мембрана. После выкручивания ниппеля из отверстия идет вода.
  • Упало давление в воздушной камере. Нужно проверить герметичность ниппеля и заменить его при необходимости. После этого камеру можно накачать шинным насосом до «паспортного» давления.

Принцип работы системы с мембранным баком.

Особенности выбора

При выборе группы безопасности обратите внимание на следующие технические параметры:

  • Максимальная мощность.
  • Максимальная температура теплоносителя.
  • Присоединительный диаметр. Группы безопасности бытовых котлов мощностью до 50 кВт имеют патрубок с внутренней резьбой 1”.
  • Номинальное давление. Оно должно соответствовать параметру, указанному в паспорте котла.
  • Совместимость с теплоносителем. Некоторые устройства нельзя устанавливать в системы отопления с незамерзающими жидкостями.

Требования к установке и эксплуатации

Для эффективной защиты котла к установке группы безопасности предъявляют ряд требований:

  1. Коллектор врезается в подающую магистраль как можно ближе к котлу и размещается выше него.
  2. Отсечной вентиль на подаче устанавливается после группы безопасности. Если владелец котла не открыл его по невнимательности перед розжигом, сработает предохранительный клапан.
  3. Если на коллекторе есть фланец с монтажными отверстиями, устройство нужно закрепить на стене. Все элементы группы безопасности должны находиться в строго вертикальном положении.
  4. Проходное сечение трубопровода в месте установки группы безопасности должно составлять не менее 15 мм.
  5. Если сбросное отверстие подключается к канализационной системе, необходимо обеспечить воздушный разрыв струи. Это предотвратит заражение теплоносителя патогенными микроорганизмами.

В процессе эксплуатации группы безопасности котла проверка срабатывания предохранительного клапана выполняется не реже одного раза в полгода. В большинстве таких устройств есть поворотная рукоятка. Если в конце вращения по часовой стрелке слышится щелчок, клапан работает нормально.

При заполнении системы отопления теплоносителем автоматический воздухоотводчик группы безопасности должен быть закрыт. Воздух удаляют через кран Маевского, установленный в верхней точке системы отопления.

Группы безопасности «Теплодар»

Компания «Теплодар» производит группы безопасности для котлов, работающих на твердом топливе. Мы предлагаем готовые комплекты устройств, собранные на латунных коллекторах. Каждый элемент проверен на соответствие заявленным характеристикам, что гарантирует отработку всех защитных функций. Мы предлагаем группы для систем отопления с рабочим давлением 2, 2,5 и 3 бар. Они укомплектованы манометрами с диапазоном измерений 0-4 бар. Диаметр присоединительной муфты — 1“.

В каталоге вы можете выбрать группу безопасности для любой модели «КУППЕР» компании «Теплодар», а также для твердотопливных котлов других производителей. Получить консультации по выбору и комплектации устройств можно у менеджера по телефону.

Группа безопасности системы отопления, группа безопасности для отопления

Группа безопасности системы отопления используется в закрытых системах отопления и защищает их от избыточного давления и так называемого «завоздушивания»; тем самым сохраняет работоспособность системы и предотвращает какие-либо аварии. Состоит она из корпуса, на котором установлены следующие детали:

  1. Манометр. Это обязательная часть; по нему мы определяем давление в системе, которое при необходимости можно добавлять или спускать. Помните: стандартное давление имеет значение в 1,5 атмосферы. Тем не менее, не все котлы могут под этим давлением функционировать. В любом случае необходимо смотреть по паспорту котла самое оптимальное рабочее давление.

  2. Воздухоотводчик. Предназначен для того, чтобы отводить воздух. Если система сконструирована правильно, имеющийся в системе воздух выйдет через воздухоотводчик вверх. Если вышла из строя система терморегуляции и котёл начинает кипятить воду (при этом выделяются пузырьки с воздухом), также запускается система аварийного отвода воздуха.
  3. Предохранительный клапан. Данная часть сбрасывает излишки воды в системе, также и в том случае, когда при закипании вода максимально расширяется. Клапаны существуют со значениями давления котла в 1,2 атм, 3 атм, 6 атм и др. Соответственно, при выборе предохранительного клапана необходимо знать, при каком давлении работает ваша группа безопасности для отопления. Предохранительный клапан монтируется всегда выше котла.

Группа безопастности системы отопления для вашего дома обязательно должна монтироваться высококвалифицированными специалистами, поскольку обычные сантехники, возможно, не совсем знают, что это за прибор, и могут неправильно его установить. А ошибки могут привести к плачевным последствиям.

Так что же именно происходит в случае перегрева системы отопления? Расширяется теплоноситель в трубопроводе, вызывая тем самым нагнетание большего давления. И если не скинуть вовремя давление из системы отопления, может сгореть котёл. Стоимость котла может быть выше стоимости группы безопасности в десятки раз. Поэтому, чтобы не тратиться лишний раз на ремонт, лучше вызвать специалиста, и быть уверенными в том, что группа безопасности для отопления будет установлена правильно и не вызовет проблем.

Группа безопасности для отопления

Группа безопасности для котлов и систем отопления предохраняют от разрушения оборудование, отводя излишнее давление теплоносителя в атмосферу. Также группы безопасности отвечают за отвод воздуха, а манометр дублирует показания манометра котла

Владимир Равилов   ⏳ 08-27-2018   06-29-2021

Группа безопасности отопления: предохранительный клапан, воздухоотводчик и манометр (слева направо). Фото: Комап-ТулаГруппа безопасности отопления: предохранительный клапан, воздухоотводчик и манометр (слева направо). Фото: Комап-Тула

Группа безопасности (блок безопасности) — устройство, обеспечивающее безопасный для человека и для оборудования сброс аварийного давления из системы отопления при неисправности оборудования, а также отвод воздуха из системы.

Группа безопасности обязательно включает в себя манометр, автоматический воздухоотводчик и предохранительный клапан, настроенный на аварийное давление 3-6 кгс/см2. Чаще всего все устройства собирают на одном корпусе, выполненном в виде подсвечника. Однако при желании можно сделать распределенную группу безопасности, разместив приборы в разных местах.

Манометр

Несмотря на то, что каждый современный котел оборудован манометром для контроля за давлением теплоносителя в системе отопления, не повредит контрольный манометр, предназначенный для сравнения показаний рабочего манометра.

Манометры, устанавливаемые в группу безопасности имеют две стрелки: одна черная — показывающая реальное давление теплоносителя в системе отопления, вторая красная — устанавливаемая вручную, отверткой, для обозначения максимального давления, с превышением которого сработает предохранительный клапан.

Итак, красную, контрольную стрелку надо настроить на максимальное давление. Максимальное давление воды в системе отопления не должно быть больше максимального давления воды в котле. Чаще всего котлы рассчитаны на стабильную работу под давлением 2 кгс/см2, поэтому при повышении давления свыше 3 кгс/см2 в котлах срабатывают датчики, останавливающие оборудование. Поэтому предохранительные клапаны на большинстве групп безопасности, предназначенных для систем отопления частных домов настроены на давление 3 кгс/см2.

Предохранительный клапан

Предохранительный клапан — устройство, срабатывающее при достижении определенного давления среды (пружина сжимается и открывает выход теплоносителя наружу). После срабатывания предохранительного клапана давление в системе понижается до безопасных значений.

Следует знать, что исправный клапан никогда не сработает просто так (он скорее не сработает, чем сработает без причины). Поэтому каждое срабатывание предохранительного клапана надо исследовать, чтобы найти причину.

Причиной срабатывания предохранительного клапана является резкое повышение в системе отопления, вызванное выходом из строя циркнасоса, расширительного бака или неисправного клапана подпитки (давление воды извне пересиливает давление воды внутри системы отопления). Реже предохранительный клапан срабатывает по причине выхода из строя теплообменника котла и самого котла, но в этом случае котлу потребуется длительный и дорогостоящий ремонт.

Предохранительный клапан срабатывает быстро и с шумом, поэтому следует позаботиться об отведении жидкости в канализацию (многие этого не делают, а зря). Желательно, чтобы сбросная труба была заведена на воронку, а уже воронка была заведена в канализацию, чтобы видеть, что выливается из системы отопления: пар или горячая вода.

Красная рукоятка сверху предохранительного клапана предназначена для проверки исправности устройства. Если повернуть рукоятку по часовой стрелке, то на исправном предохранительном клапане должна потечь вода, а течь должна прекратиться сразу после прекращения вращения рукоятки. Если течь не останавливается попробуйте покрутить еще несколько раз. Если предохранительный клапан все равно течет, то потребуется его заменить на новый.

Если предохранительный клапан приобретается отдельно, а не в комплекте с группой безопасности, то давление срабатывания надо выбирать из потребностей вашей отопительной системы, сверяясь с проектом отопления.

Воздухоотводчик автоматический

Устройство и принцип работы автоматического воздухотводчика. Фото: Caleffi

Воздухоотводчик — устройство, автоматически удаляющее воздух из системы отопления. Автоматический воздухоотводчик принято ставить в самых верхних точках системы отопления. Если верхних точек несколько, что ставят несколько воздухоотводчиков.

При покупке готовой группы безопасности воздухоотводчик всегда будет стоять посредине устройства, чтобы пузырьки воздуха стремились в самую верхнюю точку. Когда в в корпусе устройства скопится приличное количество воздуха, то поплавок сработает и откроет клапан, выпускающий воздух наружу.

Где установить группу безопасности

Группа безопасности устанавливается на подающем трубопроводе, вблизи отопительного котла так, чтобы показания манометра были видны на расстоянии 2-3 метра от устройства. Между группой безопасности и котлом нельзя ставить вентили (кроме отсекающих кранов, но и те нежелательны).

Надо приучить себя обращать внимание на группу безопасности при каждом посещении котельной, чтобы своевременно принять меры при возникновении проблем в работе оборудования.

Манометр должен располагаться так, чтобы его показания были видны без напряга, при любом посещении котельной. Теплоноситель, вытекающий через предохранительный клапан, тоже должен быть легко заметен, ибо о таком явлении нужно знать обязательно!

Группа безопасности своими руками

Группу безопасности можно сделать своими руками, но она, скорее всего, обойдется дороже группы безопасности, купленной в сборе. Надо купить манометр, воздухоотводчик и предохранительный клапан, а затем соединить их при помощи тройников, сгонов и переходников на манер готовых групп безопасности.

Самодельная группа безопасности для отопления. Фото: mlhouse.ru

Группа безопасности для отопления: главные элементы и монтаж

При обвязке котельных установок применяются самые разнообразные устройства, которые должны выполнять отведенную им роль. Одним из самых важных узлов является группа безопасности для отопления, ее еще называют «блоком безопасности». Этот блок предназначен для того чтобы предотвращать возникновение аварий при нештатных ситуациях. Если же убрать данный узел из системы отопления, тогда после перегрева оболочка агрегата просто бы взорвалась со всеми вытекающими после этого последствиями.

Из чего состоит блок безопасности отопления?

В группу безопасности входят следующие приборы, которые установлены на корпусе:

  • предохранительный клапан;
  • автоматический воздухоотводчик;
  • манометр.

Таким образом, группа безопасности выполняет три главные функции, рассмотрим каждую из них подробнее.

Предохранительный клапан служит для того чтобы избавить систему отопления от чересчур высокого давления. Данный клапан выдерживает только определенный уровень давления, как только в системе давление становится выше, клапан срабатывает и сбрасывает лишнее.

Проблему компенсации лишнего давления в отопительной системе должен решать расширительный бак. Но иногда бывают такие ситуации, когда расширительный бак по каким-либо причинам не срабатывает. Для предотвращения подобных недоразумений устанавливают предохранительный клапан, благодаря которому из системы отопления с расширительным баком сбрасывается лишняя вода. Для того чтобы вода не стекала на пол, к резьбе сбоку необходимо присоединить трубочку, которая выводится в канализацию.

Важно! Антифриз в канализацию сбрасывать нельзя!

Предохранительные клапаны изготавливаются под самое разное давление, приобретать необходимо отталкиваясь от того с каким давлением работает ваш котел. Для частного дома потребуется клапан, рассчитанный на 3 атмосферы.

Основная задача воздухосбрасывателя – это обслуживание. Внутри него есть камера, которая оборудована поплавком, тот в свою очередь механически связан с клапаном, который при отсутствии воды открывается.

Главной функцией этого устройства является удаление воздуха во время заполнения котла и системы теплоносителем, а также во время эксплуатации. Также в качестве дополнительной функций можно назвать выпуск первого пара, который появляется при перегреве в котле.

Из-за воздухотводчика всю группу безопасности монтируют сверху котла, это обуславливается тем, что воздухотводчик должен быть расположен в наиболее высокой точке, так как именно туда стремятся пузырьки воздуха.

Манометр – данное устройство необходимо для мониторинга давления в системе отопления. Также как и в случае с предохранительными клапанами манометры бывают рассчитанные для разной величины давления. Выбрать необходимо такое устройство так чтобы его использование было максимально удобно: для того чтобы определить показания нужно всего лишь посмотреть на прибор, и не требуется производить каких-либо вычислений.

Все блоки безопасности работают одинаково, но выбирать необходимо исходя из параметров давления, на которое рассчитаны манометр и предохранительный клапан.

 

Где устанавливать группу безопасности?

По большому счету, монтаж группы безопасности для системы отопления не обязателен для всех систем, но при желании владельца жилища может быть смонтирован как страховочный вариант на любой системе.

К примеру, для теплогенераторов, которые работают на дизельном топливе или природном газе, либо те, чья работа зависит от электричества, дополнительная защита в этом случае не требуется. Данные котлы изначально обладают высоким уровнем безопасности и в случае чего могут самостоятельно прекратить работу и остановить нагрев, если давление и температура будут расти.

Примечание: чаще всего на закрытых системах отопления оборудованных электрическим или газовым котлом группу безопасности монтируют для того, чтобы удобнее был мониторинг и сервис.

А вот котлы, которые работают на твердом топливе, более инертны и мгновенно остановиться не могут. Даже пеллетным автоматизированным котлам необходимо некоторое время для того чтобы сгорело топливо в зоне горения. Контроллер или термостат в случае роста температуры в рубашке могут мгновенно перекрыть воздух, но горение еще будет продолжаться какое-то время. Дрова гореть перестанут, но продолжат тлеть, из-за чего температура воды вырастет еще на пару градусов.

Только группа безопасности котла может предотвратить вскипание и взрыв в твердотопливном котле, из-за чего она является одним из обязательных узлов для теплогенераторов такого типа.

Монтаж группы безопасности не является особо сложной задачей. Справится с подобной задачей способен любой при наличии под рукой стандартного слесарного набора инструментов. Установка бывает двух видов:

  • монтаж на «родной» штуцер, который выходит из котла;
  • врезка в подающий трубопровод при выходе из теплогенератора.

Группа безопасности должна быть смонтирована в вертикальном положении в любой точке отопительной системы находящейся выше котла, но желательно там, где температура максимально низкая.

В том случае если модель котла настенная, тогда производители уже обо всем позаботились, в таких моделях блок безопасности установлен внутри, либо на задней стенке. А для напольной модели группу безопасности потребуется приобрести отдельно и самостоятельно врезать в систему на подающей трубе на расстоянии 1-1.5 м от котла.

Манометр необходимо расположить таким образом, чтобы, не напрягаясь можно было увидеть его показания при обычном посещении котельной. Теплоноситель, который вытекает через предохранительный клапан, также должен быть легко заменен, так как об этом обязательно нужно знать.

Важно! Между котлом и группой безопасности никакие вентили НЕ ставятся!

Диаметр сливного шланга должен соответствовать диаметру выходного отверстия предохранительного клапана и его прокладка должна быть произведена таким образом, чтобы не было препятствий при сбросе пара или жидкости, а кроме того чтобы людей не подвергать опасности.

Для того чтобы уплотнить резьбовые соединения рекомендуется использовать ленту ФУМ, лен со специальными пастами, полиамидную нить с силиконом либо какие-то другие уплотнительные материалы, которые помогают обеспечить достаточную герметичность соединений во время максимальной рабочей температуре и давлении теплоносителя. После того как осуществлена установка группы безопасности, ее необходимо испытать на герметичность.

Как сделать блок безопасности на отопление своими руками?

Если отдельно приобрести предохранительный клапан, манометр и воздухоотводчик, соединить их при помощи тройников, переходников сгонов, то можно своими руками собрать группу безопасности.

В случае приобретения всех комплектующих по отдельности и самостоятельной сборки предохранительной автоматики, цена будет значительно ниже, чем, если купить готовый блок безопасности котла:

  • клапан предохранительный – 6 у. е.;
  • манометр – 10 у. е.;
  • воздухоотводчик автоматический – 5 у. е.;
  • крестовина латунная DN 15 в качестве коллектора – 2.2 у. е.

Во время выбора комплектующих необходимо обязательно учитывать рекомендации:

  1. Не стоит приобретать самые дешевые предохранительные клапана. Китайские модели, как правило, после первого срабатывания начинают протекать или вообще не сбрасывают давление.
  2. Китайские манометры, чаще всего, очень сильно врут. В случае если во время заполнения системы устройство занизит показания, то после нагрева может случиться авария, так как в сети напор может подскочить до критического значения.
  3. Предохранительный клапан должен подбираться, отталкиваясь от рабочего давления котла, которое указывается в техническом паспорте.
  4. Приобретайте только воздухоотводчик прямого типа, так как у углового создается повышенное сопротивление выходящему воздуху.
  5. Крестовина должна быть изготовлена из толстостенной латуни высокого качества. При выборе просто необходимо взвесить в ладони более дорогую и более дешевую модель, и сразу будет ощутима разница.

Корпус группы безопасности также можно самостоятельно изготовить из обрезков полипропиленовых труб и фитингов, это будет стоить намного дешевле модели заводского исполнения, где много латуни.

Необходимо также помнить о том, что группу безопасности, изготовленную из полипропилена необходимо монтировать только в низкотемпературных системах отопления (например, теплый пол, но ни в коем случае не радиаторы). Причина в том, что при достижении теплоносителем 95 градусов, полипропилен начинает разрушаться, и как следствие может возникнуть достаточно неприятная ситуация.

Монтаж самодельной группы безопасности осуществляется достаточно легко. Воздухосбрасыватель вкручивается в верхний вывод крестовины, а в боковые – предохранительный клапан и манометр как будет удобно. Готовый элемент необходимо врезать в магистраль рядом с котлом.

В том случае если есть желание сделать максимально безопасным твердотопливный отопительный котел, необходимо обратить внимание на клапаны теплового сброса. Их принцип работы заключается в следующем: в случае перегрева теплоносителя, его сбрасывают из водяной рубашки котла и запускают подмес холодной водопроводной воды.

Вывод: приобретение и монтаж группы безопасности для закрытой системы отопления не является обязательным требованием для всех котлов. У большей части настенных газовых котлов уже с завода оборудуется этой автоматикой, что указывается в их инструкции по эксплуатации.

Однако некоторые производители твердотопливных котлов также укомплектовывают свою продукцию деталями для группы безопасности, но над их установкой придется потрудиться самостоятельно.

Как работает группа безопасности котла

26.12.2016

В котельных конструкциях особое значение имеет антиаварийное оборудование. Группа безопасности для котла предохраняет систему отопления от достижения критического давления и завоздушивания.

 

Устройство и предназначение

Данное приспособление составляют три прибора: манометр, автоматический воздухоотвод и сбрасывающий автоклапан. Они собираются резьбовыми соединениями на одном коллекторе, который через муфту связывает их с системой отопления. Так одновременно выполняется несколько функций:

 

1. Манометр помогает наблюдать избыточное давление зрительно. Также он значим при наполнении закрытого трубопровода.

2. Воздухосбрасыватель выполняет сервисную функцию. С помощью поплавка, который открывается, если нет воды, он отводит воздух при наполнении агрегата. Имеется и вспомогательная задача – спуск начального избытка пара, возникающего от перегрева.

3. Сбрасывающий автоклапан высвобождает основной избыток объёма содержимого котлового бака.

      

 

Таким способом группа безопасности для котла эффективно предотвращает аварии и катастрофы, без неё за перегревом неизбежно следовал бы взрыв.

 

Область применения

Даже если в ГБК нет необходимости, она может служить страховкой на случай отказа штатных аварийных механизмов. К примеру, газовые, электрические или дизельные термогенераторы уже обладают хорошей защитой, и способны мгновенно отключиться при перегреве. А вот твердотопливные нагреватели слишком инерционны, чтобы быстро реагировать на опасные изменения.

 

Даже автоматизированным гранульным термогенераторам необходимо время на сжигание топлива. В ситуации с топкой пылающих поленьев увеличение температуры может закрыть приток воздуха, но топливо мгновенно не погаснет, а станет перетлевать, продолжая греть корпус. Отчего ГБК считается незаменимым атрибутом котлоагрегатов данного типа.

 

Рекомендации по монтажу

Если котёл не снабжён ГБК, то несложно приобрести или собрать своими руками. Выбор оснащения — основа успеха. Свойства автоотводчика не так принципиальны, а вот манометр и аварийный клапан выбираются строго согласно лимитам, прописанным в инструкции по использованию теплогенератора.

 

Установка проста, при наличии обычного комплекта слесарных инструментов выполнить её может каждый. Сначала нужно позаботиться, чтобы котловой агрегат и группа безопасности демонтировались без слива всего теплоносителя. Для этого перед нагревателем и после ставятся шаровые краны, которыми сподручно отсекать технологические узлы при замене или ремонте.

 

Важно: нельзя ставить кран между группой и котлоагрегатом. Такое положение увеличивает риски аварии.

 

Группа безопасности ставится на выходе после теплогенератора, приблизительно в метре от него. При этом будет удобно, если показания датчика хорошо заметны со входа в котельную. На выход защитного клапана необходимо подключить прозрачный сливной шланг и направить его в отдельную ёмкость (удобно контролировать) или канализацию.

 

А лучше посмотрите видео:

Заключение

ГБК рекомендовано устанавливать во все отопительные конструкции замкнутого вида. Расходы невелики, однако обеспечивают удобство сервиса и создают дополнительный уровень защиты.

групп безопасности Active Directory — безопасность Windows

  • 57 минут на чтение

В этой статье

Относится к

  • Windows Server 2016 или новее
  • Windows 10 или новее

В этом справочном разделе для ИТ-специалистов описаны группы безопасности Active Directory по умолчанию.

В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют собой физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве специальных учетных записей служб для некоторых приложений. Группы безопасности используются для сбора учетных записей пользователей, компьютеров и других групп в управляемые единицы.

В операционной системе Windows Server существует несколько встроенных учетных записей и групп безопасности, для которых предварительно настроены соответствующие права и разрешения для выполнения определенных задач.Для Active Directory существует два типа административных обязанностей:

  • Администраторы служб Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

  • Администраторы данных Отвечают за поддержание данных, которые хранятся в AD DS, а также на членских серверах и рабочих станциях домена.

О группах Active Directory

Группы используются для сбора учетных записей пользователей, компьютеров и других групп в управляемые единицы.Работа с группами вместо отдельных пользователей помогает упростить обслуживание и администрирование сети.

В Active Directory есть два типа групп:

Группы сбыта

Группы рассылки могут использоваться только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты коллекциям пользователей. Для групп рассылки не включена безопасность, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).

Группы безопасности

Группы безопасности могут обеспечить эффективный способ назначения доступа к ресурсам в вашей сети.Используя группы безопасности, вы можете:

  • Назначьте права пользователей группам безопасности в Active Directory.

    Права пользователя назначаются группе безопасности, чтобы определить, что члены этой группы могут делать в области домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.

    Например, пользователь, добавленный в группу «Операторы резервного копирования» в Active Directory, имеет возможность создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене.Это возможно, потому что по умолчанию права пользователя Файлы и каталоги резервного копирования и Файлы и каталоги восстановления автоматически назначаются группе «Операторы резервного копирования». Следовательно, члены этой группы наследуют права пользователя, назначенные этой группе.

    Вы можете использовать групповую политику, чтобы назначать права пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. В разделе Назначение прав пользователей.

  • Назначьте разрешения группам безопасности для ресурсов.

    Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровень доступа, например Полный доступ. Некоторые разрешения, которые устанавливаются для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа операторов учетных записей или группа администраторов домена.

    Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов.При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. Д.) Администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.

Как и группы рассылки, группы безопасности могут использоваться в качестве объекта электронной почты.Отправка сообщения электронной почты группе отправляет сообщение всем членам группы.

Объем группы

Группы характеризуются областью действия, которая определяет степень, в которой группа применяется в дереве доменов или в лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три области групп определяются Active Directory:

  • Универсальный

  • Глобальный

  • Локальный домен

Примечание

В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия группы Builtin Local.Эта область действия группы и тип группы не могут быть изменены.

В следующей таблице перечислены три области действия группы и дополнительная информация о каждой области для группы безопасности.

Объемы групп

Объем Возможные члены Преобразование объема Может предоставлять разрешения Возможный член

Универсальный

Учетные записи из любого домена в одном лесу

Глобальные группы из любого домена в одном лесу

Другие универсальные группы из любого домена в том же лесу

Может быть преобразован в локальную область домена, если группа не является членом каких-либо других универсальных групп

Может быть преобразован в глобальную область, если группа не содержит других универсальных групп

В любом домене в том же лесу или в доверенных лесах

Другие универсальные группы в том же лесу

Домен Локальные группы в одном или доверенных лесах

Локальные группы на компьютерах в одном или доверенных лесах

Весь мир

Аккаунты из того же домена

Другие глобальные группы из того же домена

Может быть преобразован в универсальную область, если группа не является членом какой-либо другой глобальной группы

В любом домене в том же лесу или в доверенных доменах или лесах

Универсальные группы из любого домена в одном лесу

Другие глобальные группы из того же домена

Домен Локальные группы из любого домена в том же лесу или из любого доверенного домена

Домен Локальный

Аккаунты из любого домена или любого доверенного домена

Глобальные группы из любого домена или любого доверенного домена

Универсальные группы из любого домена в одном лесу

Другой домен Локальные группы из того же домена

Учетные записи, глобальные группы и универсальные группы из других лесов и из внешних доменов

Может быть преобразован в универсальную область, если группа не содержит других локальных групп домена

В том же домене

Другой домен Локальные группы из того же домена

Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами безопасности

Особые идентификационные группы

Особые идентификаторы обычно называются группами.Особые группы идентификации не имеют определенного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают «Создатель-владелец», «Пакетная партия» и «Пользователь, прошедший проверку подлинности».

Для получения информации обо всех специальных группах удостоверений см. Особые удостоверения.

Группы безопасности по умолчанию

Группы по умолчанию, такие как группа администраторов домена, представляют собой группы безопасности, которые создаются автоматически при создании домена Active Directory.Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и для делегирования определенных административных ролей на уровне домена.

Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.

Когда вы добавляете пользователя в группу, пользователь получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.

Группы по умолчанию расположены в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Контейнер Builtin включает группы, определенные в области локального домена. Users включает группы, которые определены с глобальной областью, и группы, которые определены с локальной областью домена.Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или подразделения (OU) в домене, но вы не можете перемещать их в другие домены.

Некоторые административные группы, перечисленные в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, которая содержит информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.

Дескриптор безопасности присутствует в объекте AdminSDHolder . Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder , чтобы он применялся согласованно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию для версии операционной системы

В следующих таблицах представлены описания групп по умолчанию, которые расположены в контейнерах Builtin и Users в каждой операционной системе.

Операторы помощи при контроле доступа

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа операторов поддержки контроля доступа применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-579

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Операторы счетов

Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи.Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а участники могут локально входить в систему на контроллерах домена.

Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.

Группа «Операторы учетных записей» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

По умолчанию у этой встроенной группы нет участников, и она может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе операторов сервера. Эта группа считается группой администраторов служб, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-548

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Разрешить локальный вход: SeInteractiveLogonRight

Администраторы

Члены группы администраторов имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.

Группа «Администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Группа администраторов имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.

Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.Эта группа имеет особую привилегию владеть любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

Разрешенная группа репликации паролей RODC

Целью этой группы безопасности является управление политикой репликации паролей RODC.По умолчанию в этой группе нет участников, и это приводит к тому, что новые контроллеры домена только для чтения не кэшируют учетные данные пользователей. Группа Denied RODC Password Replication Group содержит множество учетных записей с высоким уровнем привилегий и групп безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».

Группа «Разрешенная репликация паролей RODC» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -571

Тип

Домен локальный

Контейнер по умолчанию

CN = Пользователи DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Операторы резервного копирования

Члены группы «Операторы архива» могут создавать резервные копии и восстанавливать все файлы на компьютере, независимо от разрешений, которые защищают эти файлы.Операторы резервного копирования также могут войти в систему и выключить компьютер. Эту группу нельзя переименовать, удалить или переместить. По умолчанию у этой встроенной группы нет участников, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Его членство может быть изменено следующими группами: администраторы служб по умолчанию, администраторы домена в домене или администраторы предприятия. Он не может изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять настройки сервера или изменять конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена.Из-за этого члены этой группы считаются администраторами служб.

Группа «Операторы архива» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Служба сертификации DCOM Access

Членам этой группы разрешено подключаться к центрам сертификации на предприятии.

Группа доступа DCOM службы сертификации применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-32- <домен> -574

Тип

Домен Локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Cert Publishers

Члены группы Cert Publishers имеют право публиковать сертификаты для объектов User в Active Directory.

Группа «Издатели сертификатов» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -517

Тип

Домен Локальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Запрещенная группа репликации паролей RODC

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Клонируемые контроллеры домена

Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы.В Windows Server 2012 R2 и Windows Server 2012 вы можете развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде больше не нужно повторно развертывать образ сервера, подготовленный с помощью sysprep.exe, повышать уровень сервера до контроллера домена, а затем выполнять дополнительные требования к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена. в эту группу безопасности).

Дополнительные сведения см. В разделе Введение в виртуализацию доменных служб Active Directory (AD DS) (уровень 100).

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -522

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Операторы криптографии

Члены этой группы имеют право выполнять криптографические операции.Эта группа безопасности была добавлена ​​в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

Группа криптографических операторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности была представлена ​​в Windows Vista с пакетом обновления 1 (SP1) и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-569

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Запрещенная группа репликации паролей RODC

Пароли участников запрещенной группы репликации паролей RODC не могут быть реплицированы на любой контроллер домена только для чтения.

Целью этой группы безопасности является управление политикой репликации паролей RODC. Эта группа содержит множество учетных записей с высокими привилегиями и групп безопасности. Группа репликации запрещенных паролей RODC заменяет разрешенную группу репликации паролей RODC.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

  • Windows Server 2012 изменила членов по умолчанию, включив в них издателей сертификатов.

Владельцы устройств

Эта группа в настоящее время не используется в Windows.

Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, при которой в этой группе безопасности нет участников. Изменение конфигурации по умолчанию может помешать будущим сценариям, в которых используется эта группа.

Группа владельцев устройств применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Атрибут Значение

Известный SID / RID

С-1-5-32-583

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Можно выдвинуть, но не рекомендуется

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Разрешить локальный вход: SeInteractiveLogonRight

Доступ к этому компьютеру из сети: SeNetworkLogonRight

Обход поперечной проверки: SeChangeNotifyPrivilege

Изменить часовой пояс: SeTimeZonePrivilege

Распределенные пользователи COM

Членам группы «Пользователи распределенного COM» разрешено запускать, активировать и использовать объекты распределенного COM на компьютере.Microsoft Component Object Model (COM) — это платформенно-независимая распределенная объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать. Распределенная объектная модель компонентов (DCOM) позволяет распределять приложения по местам, которые имеют наибольший смысл для вас и для приложения. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи распределенного COM» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-562

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

DnsUpdateProxy

Члены группы DnsUpdateProxy являются клиентами DNS.Им разрешено выполнять динамические обновления от имени других клиентов (например, DHCP-серверов). DNS-сервер может создавать устаревшие записи ресурсов, если DHCP-сервер настроен на динамическую регистрацию записей ресурсов хоста (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности смягчает этот сценарий.

Однако для защиты от незащищенных записей или для разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, которые разрешают только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных этого учетная запись (имя пользователя, пароль и домен).Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения см. В разделах «Владение записями DNS» и «Группа DnsUpdateProxy».

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> — <переменная RID>

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

DnsAdmins

Члены группы DNSAdmins имеют доступ к сетевой информации DNS.Разрешения по умолчанию следующие: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения о безопасности и DNS см. В разделе DNSSEC в Windows Server 2012.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> — <переменная RID>

Тип

Встроенный локальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Администраторы домена

Члены группы безопасности «Администраторы домена» имеют право администрировать домен.По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, которые присоединились к домену, включая контроллеры домена. Группа «Администраторы домена» является владельцем по умолчанию любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».

Группа «Администраторы домена» контролирует доступ ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене.Членство может быть изменено членами групп администраторов служб в своем домене (администраторы и администраторы домена), а также членами группы администраторов предприятия. Это считается учетной записью администратора службы, поскольку ее участники имеют полный доступ к контроллерам домена в домене.

Группа «Администраторы домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Доменные компьютеры

В эту группу могут входить все компьютеры и серверы, которые присоединились к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

Группа «Компьютеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -515

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Все компьютеры, присоединенные к домену, за исключением контроллеров домена

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Да (но не обязательно)

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Контроллеры домена

Группа контроллеров домена может включать все контроллеры домена в домене.В эту группу автоматически добавляются новые контроллеры домена.

Группа «Контроллеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -516

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Компьютерные учетные записи для всех контроллеров домена

Элемент по умолчанию

Запрещенная группа репликации паролей RODC

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Гости домена

Группа «Гости домена» включает встроенную гостевую учетную запись домена.Когда члены этой группы входят в систему как локальные гости на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

Группа «Гости домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -514

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Гость

Элемент по умолчанию

Гости

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Можно выдвинуть, но не рекомендуется

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Посмотреть гости

Пользователи домена

Группа «Пользователи домена» включает в себя все учетные записи пользователей в домене.Когда вы создаете учетную запись пользователя в домене, она автоматически добавляется в эту группу.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эта группа может использоваться для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе (или добавить группу «Пользователи домена» в локальную группу на сервере печати, у которой есть разрешения для принтера).

Группа «Пользователи домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -513

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Администратор

крбтгт

Элемент по умолчанию

Пользователи

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Посмотреть пользователей

Администраторы предприятия

Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены.

По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу администраторов в каждом домене леса и обеспечивает полный доступ для настройки всех контроллеров домена.Члены этой группы могут изменять членство во всех административных группах. Членство может быть изменено только группами администраторов служб по умолчанию в корневом домене. Это считается учетной записью администратора службы.

Группа администраторов предприятия применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Ключевые администраторы предприятия

Члены этой группы могут выполнять административные действия над ключевыми объектами в лесу.

Группа Enterprise Key Admins появилась в Windows Server 2016.

Атрибут Значение
Известный SID / RID S-1-5-21- <домен> -527
Тип Глобальный
Контейнер по умолчанию CN = Пользователи, DC = <домен>, DC =
Элементы по умолчанию Нет
Стандартный член Нет
Защищено ADMINSDHOLDER? Есть
Можно ли выйти из контейнера по умолчанию? Есть
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?
Права пользователя по умолчанию Нет

Корпоративные контроллеры домена только для чтения

Члены этой группы являются контроллерами домена только для чтения на предприятии.За исключением паролей учетных записей, доступный только для чтения контроллер домена содержит все объекты и атрибуты Active Directory, которые содержит доступный для записи контроллер домена. Однако нельзя вносить изменения в базу данных, которая хранится на контроллере домена только для чтения. Изменения необходимо внести на доступный для записи контроллер домена, а затем реплицировать на контроллер домена только для чтения.

Контроллеры домена только для чтения решают некоторые проблемы, которые обычно встречаются в филиалах. В этих местах может не быть контроллера домена.Или у них может быть контроллер домена с возможностью записи, но нет физической безопасности, пропускной способности сети или местного опыта для его поддержки.

Для получения дополнительной информации см. Что такое контроллер домена только для чтения ?.

Группа корпоративных контроллеров домена только для чтения применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <корневой домен> -498

Тип

Универсальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Считыватели журнала событий

Члены этой группы могут читать журналы событий с локальных компьютеров.Группа создается, когда сервер повышается до контроллера домена.

Группа «Читатели журнала событий» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-573

Тип

Домен Локальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Владельцы-создатели групповой политики

Этой группе разрешено создавать, редактировать или удалять объекты групповой политики в домене.По умолчанию единственным членом группы является администратор.

Для получения информации о других функциях, которые вы можете использовать с этой группой безопасности, см. Обзор групповой политики.

Группа владельцев-создателей групповой политики применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -520

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Администратор

Элемент по умолчанию

Запрещенная группа репликации паролей RODC

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

См. Группу репликации запрещенного пароля контроллера домена только для чтения

Гости

Члены группы «Гости» по умолчанию имеют тот же доступ, что и члены группы «Пользователи», за исключением того, что учетная запись «Гость» имеет дополнительные ограничения.По умолчанию единственным участником является гостевая учетная запись. Группа «Гости» позволяет случайным или разовым пользователям входить с ограниченными правами во встроенную гостевую учетную запись компьютера.

Когда член группы «Гости» выходит из системы, весь профиль удаляется. Сюда входит все, что хранится в каталоге % userprofile% , включая информацию о кусте реестра пользователя, пользовательские значки на рабочем столе и другие пользовательские настройки. Это означает, что гость должен использовать временный профиль для входа в систему.Эта группа безопасности взаимодействует с параметром групповой политики Не входить в систему с временными профилями , если он включен. Этот параметр находится по следующему пути:

Конфигурация компьютера \ Административные шаблоны \ Система \ Профили пользователей

Примечание

Учетная запись гостя является членом группы безопасности «Гости» по умолчанию. Люди, у которых нет реальной учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, учетная запись которого отключена (но не удалена), также может использовать гостевую учетную запись.

Учетная запись гостя не требует пароля. Вы можете установить права и разрешения для гостевой учетной записи, как и для любой учетной записи пользователя. По умолчанию учетная запись гостя является членом встроенной группы «Гости» и глобальной группы «Гости домена», которая позволяет пользователю входить в домен. Учетная запись гостя отключена по умолчанию, и мы рекомендуем оставить ее отключенной.

Группа «Гости» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-546

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Домен Гости

Гость

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Администраторы Hyper-V

Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V.Добавление участников в эту группу помогает уменьшить количество участников, необходимых в группе администраторов, и дополнительно разделяет доступ.

Примечание

До Windows Server 2012 доступ к функциям Hyper-V частично контролировался членством в группе администраторов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-578

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

IIS_IUSRS

IIS_IUSRS — это встроенная группа, которая используется службами IIS, начиная с IIS 7.0. Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный SID. IIS 7.0 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой операционной системы Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

Дополнительные сведения см. В разделе Общие сведения о встроенных учетных записях пользователей и групп в IIS 7.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-568

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

МСР

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Построители входящего лесного траста

Члены группы Построители доверия входящего леса могут создавать входящие односторонние отношения доверия к этому лесу.Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменами и лесами. Прежде чем аутентификация может происходить через доверительные отношения, Windows должна определить, имеет ли домен, запрашиваемый пользователем, компьютером или службой, доверительные отношения с доменом входа в систему запрашивающей учетной записи.

Чтобы сделать это определение, система безопасности Windows вычисляет доверительный путь между контроллером домена для сервера, который получает запрос, и контроллером домена в домене запрашивающей учетной записи.Защищенный канал распространяется на другие домены Active Directory через междоменные доверительные отношения. Этот защищенный канал используется для получения и проверки информации о безопасности, включая идентификаторы безопасности (SID) для пользователей и групп.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Для получения дополнительной информации см. Как работают доверительные отношения между доменами и лесами: доверительные отношения между доменами и лесами.

Группа построителей доверия входящих лесов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-557

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Ключевые администраторы

Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.

Группа «Ключевые администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Атрибут Значение
Известный SID / RID S-1-5-21- <домен> -526
Тип Глобальный
Контейнер по умолчанию CN = Пользователи, DC = <домен>, DC =
Элементы по умолчанию Нет
Стандартный член Нет
Защищено ADMINSDHOLDER? Есть
Можно ли выйти из контейнера по умолчанию? Есть
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?
Права пользователя по умолчанию Нет

Операторы настройки сети

Члены группы операторов настройки сети могут иметь следующие административные привилегии для управления настройкой сетевых функций:

  • Измените свойства протокола управления передачей / Интернет-протокола (TCP / IP) для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

  • Переименуйте подключения к локальной сети или подключения удаленного доступа, доступные всем пользователям.

  • Включение или отключение подключения к локальной сети.

  • Измените свойства всех подключений удаленного доступа пользователей.

  • Удалите все подключения удаленного доступа пользователей.

  • Переименовать все подключения удаленного доступа пользователей.

  • Проблема ipconfig , ipconfig / release или ipconfig / Renew команд.

  • Введите ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа операторов настройки сети применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-556

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Журнал производительности Пользователи

Члены группы «Пользователи журнала производительности» могут управлять счетчиками производительности, журналами и предупреждениями локально на сервере и с удаленных клиентов, не являясь членами группы «Администраторы».Конкретно членов этой группы безопасности:

  • Может использовать все функции, доступные группе пользователей системного монитора.

  • Может создавать и изменять наборы сборщиков данных после того, как группе будет назначено право «Вход в систему как пакетное задание».

    Предупреждение

    Если вы являетесь членом группы «Пользователи журнала производительности», вы должны настроить наборы сборщиков данных, которые вы создаете, для работы под вашими учетными данными.

    Примечание

    В Windows Server 2016 или более поздней версии группы сборщиков данных не могут быть созданы членом группы «Пользователи журнала производительности».Если член группы «Пользователи журнала производительности» пытается создать группы сборщиков данных, они не могут завершить создание, поскольку в доступе будет отказано.

  • Невозможно использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.

Чтобы члены группы «Пользователи журнала производительности» могли инициировать регистрацию данных или изменять наборы сборщиков данных, группе сначала должно быть назначено право «Вход в систему как пакетное задание». Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Microsoft.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи журнала производительности» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Примечание

Эту учетную запись нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-559

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Войдите в систему как пакетное задание: SeBatchLogonRight

Пользователи системного монитора

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не являясь членами групп «Администраторы» или «Пользователи журнала производительности».Монитор производительности Windows — это оснастка консоли управления Microsoft (MMC), которая предоставляет инструменты для анализа производительности системы. С единой консоли вы можете контролировать производительность приложений и оборудования, настраивать данные, которые нужно собирать в журналах, определять пороговые значения для предупреждений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

Конкретно участников этой группы безопасности:

  • Может использовать все функции, доступные группе «Пользователи».

  • Может просматривать данные о производительности в реальном времени в системном мониторе.

    Может изменять свойства отображения монитора производительности во время просмотра данных.

  • Невозможно создать или изменить группы сборщиков данных.

    Предупреждение

    Вы не можете настроить набор сборщиков данных для работы в качестве члена группы пользователей системного монитора.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).Эту группу нельзя переименовать, удалить или переместить.

Группа «Пользователи монитора производительности» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-558

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Доступ для пред-Windows 2000

Члены группы Pre – Windows 2000 Compatible Access имеют доступ на чтение для всех пользователей и групп в домене.Эта группа предназначена для обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений «Все» является членом этой группы. Добавляйте пользователей в эту группу, только если они работают под Windows NT 4.0 или более ранней версии.

Предупреждение

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа Pre – Windows 2000 Compatible Access применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-554

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Если вы выберете режим разрешений, совместимых с пред-Windows 2000, все и анонимные будут участниками, а если вы выберете режим разрешений только для Windows 2000, аутентифицированные пользователи станут участниками.

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Доступ к этому компьютеру из сети: SeNetworkLogonRight

Обход поперечной проверки: SeChangeNotifyPrivilege

Операторы печати

Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене.Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить в систему и выключать контроллеры домена в домене.

В этой группе нет участников по умолчанию. Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или переместить.

Группа «Операторы печати» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась со времен Windows Server 2008. Однако в Windows Server 2008 R2 были добавлены функции для управления администрированием печати. Дополнительные сведения см. В разделе «Назначение администратора делегированной печати» и «Параметры разрешений принтера» в Windows Server 2012.

Атрибут Значение

Известный SID / RID

С-1-5-32-550

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Разрешить локальный вход: SeInteractiveLogonRight

Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege

Выключите систему: SeShutdownPrivilege

Защищенные пользователи

Членам группы «Защищенные пользователи» предоставляется дополнительная защита от компрометации учетных данных во время процессов аутентификации.

Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. К учетным записям членов этой группы автоматически применяется ненастраиваемая защита. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно защищенным. Единственный способ изменить защиту учетной записи — удалить ее из группы безопасности.

Эта глобальная группа, относящаяся к домену, запускает ненастраиваемую защиту на устройствах и хост-компьютерах, начиная с Windows Server 2012 R2 и Windows 8.1 операционные системы. Он также запускает ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2012 R2 или Windows Server 2016. Это значительно сокращает объем памяти, занимаемый учетными данными, когда пользователи входят в компьютеры в сети с некомпрометированного компьютера. .

В зависимости от функционального уровня домена учетной записи члены группы «Защищенные пользователи» получают дополнительную защиту из-за изменений поведения в методах проверки подлинности, поддерживаемых в Windows.

  • Члены группы «Защищенные пользователи» не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSP): NTLM, дайджест-проверка подлинности или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 8.1 или Windows 10, поэтому устройству не удается пройти аутентификацию в домене, если учетная запись является членом группы защищенных пользователей.

  • Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Это означает, что домен должен быть настроен для поддержки хотя бы набора шифров AES.

  • Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Это означает, что прежние подключения к другим системам могут завершиться ошибкой, если пользователь является членом группы «Защищенные пользователи».

  • Срок службы билетов выдачи билетов Kerberos (TGT) по умолчанию, равный четырем часам, можно настроить с помощью политик проверки подлинности и разрозненных хранилищ, доступ к которым можно получить через Центр администрирования Active Directory. Это означает, что по прошествии четырех часов пользователь должен снова пройти аутентификацию.

Группа «Защищенные пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. В разделе «Группа безопасности защищенных пользователей».

В следующей таблице указаны свойства группы «Защищенные пользователи».

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -525

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с обслуживанием?

Права пользователя по умолчанию

Нет

Серверы RAS и IAS

Компьютеры, входящие в группу серверов RAS и IAS, при правильной настройке могут использовать службы удаленного доступа.По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически, например, серверы IAS и серверы политики сети. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», «Чтение информации для входа в систему» ​​и «Чтение информации об удаленном доступе».

Группа серверов RAS и IAS применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -553

Тип

Встроенный локальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Конечные серверы RDS

Серверы

, входящие в группу серверов конечных точек RDS, могут запускать виртуальные машины и сеансы хоста, в которых выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы.Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узла сеанса и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны быть в этой группе.

Сведения о службах удаленных рабочих столов см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-576

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Серверы управления RDS

Серверы, входящие в группу серверов управления RDS, могут использоваться для выполнения рутинных административных действий на серверах, на которых запущены службы удаленных рабочих столов.Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых запущена служба центрального управления RDS, должны быть включены в эту группу.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-577

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Серверы удаленного доступа RDS

Серверы

в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и персональным виртуальным рабочим столам.При развертывании с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются при развертывании, должны быть в этой группе.

Дополнительные сведения см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-575

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена только для чтения в домене.Контроллер домена только для чтения позволяет организациям легко развертывать контроллер домена в сценариях, где физическая безопасность не может быть гарантирована, например в филиалах, или в сценариях, где локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или в роли, связанной с приложениями.

Поскольку администрирование контроллера домена только для чтения может быть делегировано пользователю домена или группе безопасности, контроллер домена только для чтения хорошо подходит для сайта, на котором не должно быть пользователя, который является членом группы администраторов домена.Контроллер домена только для чтения включает следующие функции:

  • База данных AD DS только для чтения

  • Однонаправленная репликация

  • Кэширование учетных данных

  • Разделение ролей администратора

  • Система доменных имен (DNS) только для чтения

Сведения о развертывании контроллера домена только для чтения см. В разделе Общие сведения о планировании и развертывании контроллеров домена только для чтения.

Эта группа безопасности была введена в Windows Server 2008 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> -521

Тип

Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Запрещенная группа репликации паролей RODC

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

См. Группу репликации запрещенного пароля контроллера домена только для чтения

Пользователи удаленного рабочего стола

Группа «Пользователи удаленного рабочего стола» на сервере узла сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешений на удаленное подключение к серверу узла сеансов удаленных рабочих столов.Эту группу нельзя переименовать, удалить или переместить. Он отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи удаленного рабочего стола» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-555

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Пользователи удаленного управления

Члены группы «Пользователи удаленного управления» могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows).Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю.

Группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами через консоль диспетчера серверов, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды Windows PowerShell.

Для получения дополнительной информации см. Что нового в MI? и о WMI.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

С-1-5-32-580

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Репликатор

Компьютеры, входящие в группу репликатора, поддерживают репликацию файлов в домене.Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа в систему, хранящихся в системном томе (SYSVOL). Каждый контроллер домена хранит копию SYSVOL для доступа сетевых клиентов. FRS также может реплицировать данные для распределенной файловой системы (DFS), синхронизируя содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки одновременно на нескольких серверах. Когда происходят изменения, контент синхронизируется немедленно внутри сайтов и по расписанию между сайтами.

Предупреждение

В Windows Server 2008 R2 FRS нельзя использовать для репликации папок DFS или настраиваемых (не SYSVOL) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса SYSVOL в домене, который использует FRS для репликации общего ресурса SYSVOL между контроллерами домена.

Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса SYSVOL.Служба репликации DFS является заменой FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других настраиваемых (не SYSVOL) данных. Вам следует перенести все наборы реплик FRS, не относящиеся к SYSVOL, в репликацию DFS. Для получения дополнительной информации см .:

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-552

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Администраторы схемы

Члены группы «Администраторы схемы» могут изменять схему Active Directory.Эта группа существует только в корневом домене леса доменов Active Directory. Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме.

Группе разрешено вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

Членство в этой группе может быть изменено любой из групп администраторов службы в корневом домене.Это считается учетной записью администратора службы, поскольку ее участники могут изменять схему, которая управляет структурой и содержимым всего каталога.

Для получения дополнительной информации см. Что такое схема Active Directory ?: Active Directory.

Группа «Администраторы схемы» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

S-1-5-21- <корневой домен> -518

Тип

Универсальный (если домен находится в основном режиме) иначе Глобальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Администратор

Элемент по умолчанию

Запрещенная группа репликации паролей RODC

Защищено ADMINSDHOLDER?

Есть

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

См. Группу репликации запрещенного пароля контроллера домена только для чтения

Операторы сервера

Члены группы «Операторы сервера» могут администрировать контроллеры домена.Эта группа существует только на контроллерах домена. По умолчанию в группе нет участников. Члены группы «Операторы сервера» могут интерактивно входить на сервер, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и выключать компьютер. Эту группу нельзя переименовать, удалить или переместить.

По умолчанию у этой встроенной группы нет участников, и у нее есть доступ к параметрам конфигурации сервера на контроллерах домена.Его членство контролируется группами администраторов служб «Администраторы» и «Администраторы домена» в домене и группой «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членство в административных группах. Это считается учетной записью администратора службы, потому что ее участники имеют физический доступ к контроллерам домена, они могут выполнять задачи обслуживания (например, резервное копирование и восстановление) и имеют возможность изменять двоичные файлы, установленные на контроллерах домена.Обратите внимание на права пользователя по умолчанию в следующей таблице.

Группа «Операторы сервера» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы реплики хранилища

Члены этой группы имеют полный и неограниченный доступ ко всем функциям Storage Replica.

Группа администраторов реплики хранилища применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Атрибут Значение
Известный SID / RID С-1-5-32-582
Тип Встроенный локальный
Контейнер по умолчанию CN = встроенный, DC = <домен>, DC =
Элементы по умолчанию Нет
Стандартный член Нет
Защищено ADMINSDHOLDER?
Можно ли выйти из контейнера по умолчанию? Есть
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?
Права пользователя по умолчанию Нет

Группа управляемых счетов системы

Члены этой группы управляются системой.

Группа «Управляемые системой учетные записи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Атрибут Значение
Известный SID / RID С-1-5-32-581
Тип Встроенный локальный
Контейнер по умолчанию CN = встроенный, DC = <домен>, DC =
Элементы по умолчанию Пользователи
Стандартный член Нет
Защищено ADMINSDHOLDER?
Можно ли выйти из контейнера по умолчанию? Есть
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?
Права пользователя по умолчанию Нет

Серверы лицензий сервера терминалов

Члены группы серверов лицензий сервера терминалов могут обновлять учетные записи пользователей в Active Directory информацией о выдаче лицензий.Это используется для отслеживания и составления отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS на пользователя дает одному пользователю право доступа к серверу терминалов с неограниченного числа клиентских компьютеров или устройств. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Дополнительные сведения об этой группе безопасности см. В разделе Настройка группы безопасности сервера лицензий служб терминалов.

Группа серверов лицензий сервера терминалов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности применяется только к Windows Server 2003 и Windows Server 2008, поскольку службы терминалов были заменены службами удаленных рабочих столов в Windows Server 2008 R2.

Атрибут Значение

Известный SID / RID

С-1-5-32-561

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Защищено ADMINSDHOLDER?

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

Пользователи

Членам группы «Пользователи» запрещено вносить случайные или преднамеренные изменения в масштабе всей системы, и они могут запускать большинство приложений.После первоначальной установки операционной системы единственным членом является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется к группе «Пользователи» на компьютере.

Пользователи могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые разрешено использовать только им, если программа установки приложения поддерживает установку для каждого пользователя.Эту группу нельзя переименовать, удалить или переместить.

Группа «Пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

  • В Windows Server 2008 R2 ИНТЕРАКТИВНЫЙ был добавлен в список участников по умолчанию.

  • В Windows Server 2012 список Член из по умолчанию изменен с «Пользователи домена» на «Нет».

Атрибут Значение

Известный SID / RID

С-1-5-32-545

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Прошедшие проверку пользователи

Пользователи домена

ИНТЕРАКТИВНЫЙ

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

Группа авторизации доступа Windows

Члены этой группы имеют доступ к вычисляемому токену атрибута GroupsGlobalAndUniversal на объектах «Пользователь».Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователей или в объектах учетных записей компьютеров в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые читают этот атрибут или вызывают API (называемый функцией), который считывает этот атрибут, не завершаются успешно, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа доступа для авторизации Windows применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Атрибут Значение

Известный SID / RID

С-1-5-32-560

Тип

Встроенный локальный

Контейнер по умолчанию

CN = встроенный, DC = <домен>, DC =

Элементы по умолчанию

Контроллеры домена предприятия

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Невозможно переместить

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Есть

Права пользователя по умолчанию

Нет

WinRMRemoteWMIUsers_

В Windows 8 и Windows Server 2012 вкладка Share была добавлена ​​в пользовательский интерфейс дополнительных параметров безопасности.На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.

Группа WinRMRemoteWMIUsers_ применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

  • Если общий файловый ресурс размещен на сервере, на котором работает поддерживаемая версия операционной системы:

  • Если общий файловый ресурс размещен на сервере под управлением версии Windows Server более ранней, чем Windows Server 2012:

В Windows Server 2012 функция помощи при отказе в доступе добавляет группу «Прошедшие проверку» в локальную группу WinRMRemoteWMIUsers__.Таким образом, когда функция Access Denied Assistance включена, все прошедшие проверку подлинности пользователи, у которых есть разрешения на чтение для общего файлового ресурса, могут просматривать разрешения для общего файлового ресурса.

Примечание

Группа WinRMRemoteWMIUsers_ позволяет запускать команды Windows PowerShell удаленно, тогда как группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами с помощью консоли диспетчера серверов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Атрибут Значение

Известный SID / RID

S-1-5-21- <домен> — <переменная RID>

Тип

Домен локальный

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Нет

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Есть

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Права пользователя по умолчанию

Нет

См. Также

локальных учетных записей (Windows 10) — безопасность Windows

  • 20 минут на чтение

В этой статье

Относится к

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей — это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не предоставляют доступ к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и создаваемые вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером — это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию — это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5-, домен -500, отображаемое имя «Администратор»). Учетная запись администратора — это первая учетная запись, созданная во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любой момент взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация учетной записи локального пользователя и Переименование учетной записи локального пользователя.

В целях безопасности используйте локальную учетную запись (не администратора) для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем учетная запись стандартного пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы администраторов, может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.

HelpAssistant — это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет со своего компьютера приглашение по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя в сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

  • SID: S-1-5- <домен> -13, отображаемое имя Терминальный сервер. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

  • SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие SID удаленного интерактивного входа, также содержат интерактивный SID.

Для операционной системы Windows Server удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Атрибут Значение

Известный SID / RID

S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)

Тип

Пользователь

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Гости домена

Гости

Защищено ADMINSDHOLDER?

Можно ли выйти из стандартного контейнера?

Можно выдвинуть, но мы не рекомендуем это делать.

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), — это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA — это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которую можно использовать для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдониму DSMA может быть предоставлен доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount — это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

Приложения

MUMA работают в SKU общих сеансов, таких как Xbox. Например, оболочка Xbox — это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогично, Телефон автоматически входит в систему как учетная запись «DefApps», которая похожа на стандартную учетную запись пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена под управлением более ранней версии Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена под управлением Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, использующим эту учетную запись.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими под Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставляются разрешения на полный доступ ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не подразумевает предоставление разрешения для учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая запускается в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе «Управление локальными пользователями».

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа — это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для нацеливания на удаленные компьютеры, которые не являются контроллерами домена в сети.

Примечание Вы используете Active Directory — пользователи и компьютеры для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничение и защита локальных учетных записей с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход — войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для выполнения задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

  • Применять ограничения локальной учетной записи для удаленного доступа.

  • Запретить вход в сеть для всех учетных записей локальных администраторов.

  • Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен так, чтобы уведомлять вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес — это имя леса, а домен — имя домена. где вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name — это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения переноса прав локального администратора на другой компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

    2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .

    3. Дважды щелкните Управление учетными записями пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

  7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

    1. Перейдите в раздел Конфигурация компьютера \ Параметры и настройки Windows и> Реестр .

    2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

    3. В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Action на Replace .

    4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

    5. Щелкните (), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

    6. В области Имя значения введите LocalAccountTokenFilterPolicy .

    7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

    8. Убедитесь, что в поле Value data установлено значение 0 .

    9. Проверьте эту конфигурацию и> OK .

  8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренной атаке.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», и любые другие учетные записи, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Настройка

Подробное описание

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

1

Название политики

Запретить доступ к этому компьютеру из сети

Параметр политики

Локальная учетная запись и член группы администраторов

2

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

Название политики

Запретить вход через службы удаленных рабочих столов

Параметр политики

Локальная учетная запись и член группы администраторов

Запретить вход в сеть для всех учетных записей локальных администраторов

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес — имя леса, а домен — имя домен, в котором вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name — это имя нового GPO, указывает, что он используется для ограничения локальных административных учетных записей от интерактивной подписи в компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

    2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

    1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

    2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «передать хэш» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

  • Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

  • Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

  • Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

См. Также

Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

Встроенные пользователи Windows, группы по умолчанию и специальные идентификаторы — Windows CMD

Специальные идентификаторы — это неявные заполнители , они не перечислены в Active Directory , но доступны при применении разрешений — членство автоматически рассчитывается ОС.

.
Группа по умолчанию Пользователь по умолчанию или владелец сеанса Особая идентификация Описание
Операторы помощи при контроле доступа Удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Встроенный локальный.
Права пользователя по умолчанию: Нет
Операторы счетов

Предоставляет пользователю ограниченные права на создание учетной записи.Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а участники могут локально входить в систему на контроллерах домена.

Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Права пользователя по умолчанию: Разрешить локальный вход: SeInteractiveLogonRight

Администратор Учетная запись пользователя системного администратора.Эта учетная запись — первая учетная запись, созданная во время установки операционной системы. Учетная запись не может быть удалена или заблокирована. Он входит в состав администраторов. группа и не может быть удалена из этой группы.
Администраторы

Встроенная группа. Предоставляет полный и неограниченный доступ к компьютеру или, если компьютер повышен до контроллера домена, участники имеют неограниченный доступ к домену.

Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах. Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.

Группа является владельцем по умолчанию любого объекта, который создается членом группы.
Права пользователя по умолчанию для администраторов

Разрешенная группа репликации паролей RODC Управление политикой репликации паролей RODC.Группа Denied RODC Password Replication Group содержит множество учетных записей с высоким уровнем привилегий и групп безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».
Права пользователя по умолчанию: Нет
Анонимный вход Пользователь, который вошел в систему анонимно. Это удостоверение обеспечивает анонимный доступ к ресурсам, например к веб-странице, опубликованной на корпоративных серверах.
Права пользователя по умолчанию: Нет
аутентифицированных пользователей Группа, в которую входят все пользователи, чьи личности были аутентифицированы при входе в систему. Членство контролируется операционная система. Это удостоверение позволяет получить доступ к общим ресурсам в домене, например к файлам в общей папке, которые должны быть доступны всем сотрудникам в организации.
Права пользователя по умолчанию:
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Добавить рабочие станции в домен: SeMachineAccountPrivilege (часто удаляется в средах, где есть ИТ-администратор.)
Обход поперечной проверки: SeChangeNotifyPrivilege
Операторы резервного копирования Встроенная группа. По умолчанию в группе есть нет участников. Операторы резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере, независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также может войти в систему и выключить компьютер.
Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Резервное копирование файлов и каталогов: SeBackupPrivilege
Войдите в систему как пакетное задание: SeBatchLogonRight
Восстановить файлы и каталоги: SeRestorePrivilege
Выключите систему: SeShutdownPrivilege
Партия Любой пользователь или процесс, который обращается к системе как пакетное задание (или через пакетную очередь), имеет идентификатор пакета.Этот идентификатор позволяет пакетным заданиям запускать запланированные задачи, такие как задание ночной очистки. Членство контролируется операционной системой.
Права пользователя по умолчанию: Нет
Служба сертификации доступа DCOM Членам этой группы разрешено подключаться к центрам сертификации на предприятии.
Права пользователя по умолчанию: Нет
Cert Publishers Глобальная группа, включающая все компьютеры которые работают с центром сертификации предприятия.Издатели сертификатов уполномочен публиковать сертификаты для объектов User в Active Directory.
Права пользователя по умолчанию: Нет
Администраторы сервера сертификатов Администраторы центра сертификации — авторизованы для администрирования сертификатов для объектов User в Active Directory. (Домен Местный)
Запрашивающие сертификаты Члены могут запрашивать сертификаты (локальный домен)
Клонируемые контроллеры домена Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы.Права пользователя по умолчанию: Нет
Криптографические операторы Члены этой группы имеют право выполнять криптографические операции. Эта группа безопасности была добавлена ​​в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев. Права пользователя по умолчанию: Нет
Группа авторов Человек, создавший файл или каталог, является членом этой специальной группы идентификации.Операционные системы Windows Server используют это удостоверение для автоматического предоставления прав доступа создателю файла или каталога. Идентификатор безопасности-заполнителя (SID) создается в наследуемой записи управления доступом (ACE). Когда ACE наследуется, система заменяет этот SID на SID для основной группы текущего владельца объекта.
Первичная группа используется только подсистемой Portable Operating System Interface for UNIX (POSIX).
Права пользователя по умолчанию: Нет
Создатель Владелец Человек, создавший файл или каталог, является членом этой специальной группы идентификации.Операционные системы Windows Server используют это удостоверение для автоматического предоставления прав доступа создателю файла или каталога. SID-заполнитель создается в наследуемом ACE. Когда ACE наследуется, система заменяет этот SID на SID текущего владельца объекта.
Запрещенная группа репликации паролей RODC Пароли участников запрещенной группы репликации паролей RODC не могут быть реплицированы на любой контроллер домена только для чтения.Целью этой группы безопасности является управление политикой репликации паролей RODC. Эта группа содержит множество учетных записей с высокими привилегиями и групп безопасности.
Права пользователя по умолчанию: Нет
Владельцы устройств

Эта группа в настоящее время не используется в Windows.

Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Обход поперечной проверки: SeChangeNotifyPrivilege
Изменить часовой пояс: SeTimeZonePrivilege

Набор номера Любой пользователь, который обращается к системе через коммутируемое соединение, имеет идентификационные данные удаленного доступа.Это удостоверение отличает пользователей удаленного доступа от других типов пользователей, прошедших проверку подлинности.
Дайджест-аутентификация Права пользователя по умолчанию: Нет
Пользователи распределенного COM Членам группы «Пользователи распределенного COM» разрешено запускать, активировать и использовать объекты распределенного COM на компьютере.
Права пользователя по умолчанию: Нет
DnsAdmins (устанавливается с DNS) Члены этой группы имеют административный доступ к службе DNS-сервера.Разрешения по умолчанию следующие: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения. В этой группе нет участников по умолчанию.
Права пользователя по умолчанию: Нет
DnsUpdateProxy (устанавливается с DNS) Члены этой группы являются DNS-клиентами, которые могут выполнять динамические обновления от имени других клиентов, например DHCP-серверов. В этой группе нет участников по умолчанию. Права пользователя по умолчанию: Нет
Администраторы домена Глобальная группа, члены которой авторизованы для администрирования домена.По умолчанию группа администраторов домена является членом группы администраторов на всех компьютерах, которые вошли в домен, включая контроллеры домена. Администраторы домена являются владельцем по умолчанию любой объект, созданный в Active Directory домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».
Права пользователя по умолчанию: с правами администратора
Доменные компьютеры Глобальная группа, включающая все компьютеры которые присоединились к домену, за исключением контроллеров домена.Права пользователя по умолчанию: Нет
Контроллеры домена Глобальная группа, в которую входят все контроллеры домена. в домене. Новые контроллеры домена добавляются в эту группу автоматически. Права пользователя по умолчанию: Нет
Гости домена Глобальная группа, в которой по умолчанию только один member, встроенная гостевая учетная запись домена.
Права пользователя по умолчанию: см. «Гости»
Пользователи домена Глобальная группа, которая по умолчанию включает всех учетные записи пользователей в домене. Когда вы создаете учетную запись пользователя в домене, она добавляется в эту группу автоматически.
Права пользователя по умолчанию: см. «Пользователи»
Администраторы предприятия Группа, которая существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме, глобальная группа, если домен находится в смешанном режиме. Группе разрешено вносить изменения в Active Directory на уровне леса, например, добавление дочерних доменов. По умолчанию единственным членом группы является учетная запись администратора для корневого домена леса.
Права пользователя по умолчанию:
См. Администраторов
См. Запрещенную группу репликации паролей RODC
Ключевые администраторы предприятия Члены этой группы могут выполнять административные действия над ключевыми объектами в лесу.Группа Enterprise Key Admins появилась в Windows Server 2016. Права пользователя по умолчанию: Нет
Корпоративные контроллеры домена только для чтения Члены этой группы являются контроллерами домена только для чтения на предприятии. За исключением паролей учетных записей, доступный только для чтения контроллер домена содержит все объекты и атрибуты Active Directory, которые содержит доступный для записи контроллер домена.
Права пользователя по умолчанию: Нет
Контроллеры домена предприятия Группа, в которую входят все контроллеры домена лес доменов службы каталогов Active Directory.Членство контролируется операционной системой.
Права пользователя по умолчанию:
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Разрешить локальный вход: SeInteractiveLogonRight
Считыватели журнала событий Члены этой группы могут читать журналы событий с локальных компьютеров. Группа создается, когда сервер повышается до контроллера домена. Права пользователя по умолчанию: Нет
Все Все интерактивные, сетевые, коммутируемые и аутентифицированные пользователи являются членами группы «Все».Эта специальная группа идентификаторов предоставляет широкий доступ к системным ресурсам. Каждый раз, когда пользователь входит в сеть, он автоматически добавляется в группу «Все». На компьютерах под управлением Windows 2000 и более ранних версий группа «Все» включала группу анонимного входа в качестве члена по умолчанию, но с Windows Server 2003 группа «Все» содержит только прошедших проверку пользователей и гостей; и он больше не включает анонимный вход по умолчанию (хотя это можно изменить). Членство контролируется операционной системой.
Права пользователя по умолчанию:
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Действовать как часть операционной системы: SeTcbPrivilege
Обход поперечной проверки: SeChangeNotifyPrivilege
Создатели групповой политики Владельцы Глобальная группа, которой разрешено создавать новые объекты групповой политики в Active Directory. По умолчанию единственный участник группы является администратором.Владелец по умолчанию нового объекта групповой политики обычно это пользователь, создавший его. Если пользователь является членом администраторов или Администраторы домена, все объекты, созданные пользователем, принадлежат группа. Владельцы полностью контролируют принадлежащие им объекты. Права пользователя по умолчанию: см. «Группа репликации запрещенных паролей RODC».
Гость Учетная запись пользователя для людей, не имеющих индивидуального учетные записи.Эта учетная запись пользователя не требует пароля. По умолчанию Гостевая учетная запись отключена.
Гости Встроенная группа. По умолчанию единственный участник это гостевая учетная запись. Группа «Гости» разрешает случайным или разовым пользователям. для входа со встроенной гостевой учетной записью компьютера с ограниченными правами. Когда член группы «Гости» выходит из системы, весь профиль удаляется.Сюда входит все, что хранится в каталоге% userprofile%, включая информацию о кусте реестра пользователя, пользовательские значки рабочего стола и другие пользовательские настройки. Это означает, что гость должен использовать временный профиль для входа в систему.
Права пользователя по умолчанию: Нет
Администраторы Hyper-V Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V.Добавление участников в эту группу помогает уменьшить количество участников, необходимых в группе администраторов, и дополнительно разделяет доступ.
Представлено в Windows Server 2012. Права пользователя по умолчанию: Нет
IIS_IUSRS IIS_IUSRS — это встроенная группа, которая используется службами IIS, начиная с IIS 7.0. Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный идентификатор безопасности.IIS 7.0 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы.
Права пользователя по умолчанию: Нет
Построители входящего доверия леса Члены группы Построители доверия входящих лесов могут создавать входящие односторонние доверительные отношения для этого леса. Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменами и лесами.Эту группу нельзя переименовать, удалить или переместить. Права пользователя по умолчанию: Нет
Ключевые администраторы Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.
Права пользователя по умолчанию: Нет
Интерактивный Любой пользователь, вошедший в локальную систему, имеет интерактивную идентификацию. Это удостоверение позволяет только локальным пользователям получать доступ к ресурсу.Каждый раз, когда пользователь обращается к данному ресурсу на компьютере, на котором он в данный момент вошел в систему, пользователь автоматически добавляется в интерактивную группу. Членство контролируется операционной системой.
Права пользователя по умолчанию: Нет
KRBTGT Учетная запись службы, используемая распределением ключей. Центр обслуживания (KDC).
Местная служба Учетная запись локальной службы аналогична учетной записи аутентифицированного пользователя.Учетная запись локальной службы имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Этот ограниченный доступ помогает защитить вашу систему, если отдельные службы или процессы будут скомпрометированы. Службы, которые работают как учетная запись локальной службы, получают доступ к сетевым ресурсам как нулевой сеанс с анонимными учетными данными. Имя учетной записи — NT AUTHORITY \ LocalService. У этой учетной записи нет пароля.
Права пользователя по умолчанию:
Настройте квоты памяти для процесса: SeIncreaseQuotaPrivilege
Обход поперечной проверки: SeChangeNotifyPrivilege
Измените системное время: SeSystemtimePrivilege
Изменить часовой пояс: SeTimeZonePrivilege
Создание глобальных объектов: SeCreateGlobalPrivilege
Создание аудита безопасности: SeAuditPrivilege
Выдача себя за клиента после аутентификации: SeImpersonatePrivilege
Заменить токен уровня процесса: SeAssignPrimaryTokenPrivilege
Локальная система Это учетная запись службы, которая используется операционной системой.Учетная запись LocalSystem — это мощная учетная запись, которая имеет полный доступ к системе и действует как компьютер в сети. Если служба входит в учетную запись LocalSystem на контроллере домена, эта служба имеет доступ ко всему домену. Некоторые службы по умолчанию настроены для входа в учетную запись LocalSystem. Не изменяйте настройку службы по умолчанию. Имя учетной записи — LocalSystem. У этой учетной записи нет пароля.
Права пользователя по умолчанию: Нет
Сеть В эту группу неявно входят все пользователи, вошедшие в систему через сетевое соединение.Любой пользователь, который обращается к системе через сеть, имеет сетевой идентификатор. Это удостоверение позволяет только удаленным пользователям получать доступ к ресурсу. Каждый раз, когда пользователь обращается к данному ресурсу по сети, он автоматически добавляется в группу «Сеть». Членство контролируется операционной системой.
Права пользователя по умолчанию: Нет
Сетевая служба Учетная запись сетевой службы аналогична учетной записи аутентифицированного пользователя.Учетная запись сетевой службы имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Этот ограниченный доступ помогает защитить вашу систему, если отдельные службы или процессы будут скомпрометированы. Службы, которые работают как учетная запись сетевой службы, получают доступ к сетевым ресурсам, используя учетные данные учетной записи компьютера. Имя учетной записи — NT AUTHORITY \ NetworkService. У этой учетной записи нет пароля.
Права пользователя по умолчанию:
Настройте квоты памяти для процесса: SeIncreaseQuotaPrivilege
Обход поперечной проверки: SeChangeNotifyPrivilege
Создание глобальных объектов: SeCreateGlobalPrivilege
Создание аудита безопасности: SeAuditPrivilege
Выдача себя за клиента после аутентификации: SeImpersonatePrivilege
Восстановить файлы и каталоги: SeRestorePrivilege
Заменить токен уровня процесса: SeAssignPrimaryTokenPrivilege
Операторы конфигурации сети Члены этой группы могут вносить изменения в настройки TCP / IP, переименовывать / включать / отключать подключения к локальной сети, удалять / переименовывать подключения удаленного доступа, вводить ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту, а также обновлять и выпускать Адреса TCP / IP на контроллерах домена в домене.В этой группе нет участников по умолчанию.
Права пользователя по умолчанию: Нет
Аутентификация NTLM Права пользователя по умолчанию: Нет
Другая организация В эту группу неявно входят все пользователи, вошедшие в систему через коммутируемое соединение. Членство контролируется операционной системой. Права пользователя по умолчанию: Нет
Пользователи системного монитора Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не являясь членами групп «Администраторы» или «Пользователи журнала производительности».
Права пользователя по умолчанию: Нет
Пользователи журнала производительности Члены этой группы могут управлять счетчиками производительности, журналами и предупреждениями на контроллерах домена в домене, локально и с удаленных клиентов, не будучи членом группы администраторов.
Права пользователя по умолчанию: вход в систему как пакетное задание: SeBatchLogonRight
Опытные пользователи По умолчанию члены этой группы не имеют больше прав или разрешений, чем у стандартной учетной записи пользователя.
Группа опытных пользователей однажды предоставляла пользователям определенные права администратора и разрешения в предыдущих версиях Windows.
Доступ, совместимый с пред-Windows 2000 Группа обратной совместимости, которая позволяет доступ на чтение для всех пользователей и групп в домене. По умолчанию специальное удостоверение «Все» является членом этой группы. Добавляйте пользователей в эту группу, только если они работают под Windows NT 4.0 или более ранней версии.
Права пользователя по умолчанию:
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Обход поперечной проверки: SeChangeNotifyPrivilege
Основная собственная личность
или
Самостоятельная		 Этот идентификатор является заполнителем в ACE для объекта пользователя, группы или компьютера в Active Directory. Когда вы предоставляете разрешения самому себе, вы предоставляете их участнику безопасности, который представлен объектом.Во время проверки доступа операционная система заменяет SID участника Self на SID участника безопасности, представленного объектом.
Права пользователя по умолчанию: Нет
Операторы печати Встроенная группа, существующая только в домене контроллеры. По умолчанию единственным членом является группа «Пользователи домена». Распечатать Операторы могут управлять принтерами и очередями документов.Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить в систему и выключать контроллеры домена в домене.
Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или переместить.
Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege
Выключите систему: SeShutdownPrivilege
Защищенные пользователи Членам группы «Защищенные пользователи» предоставляется дополнительная защита от компрометации учетных данных во время процессов аутентификации.Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. К учетным записям членов этой группы автоматически применяется ненастраиваемая защита. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно защищенным. Единственный способ изменить защиту учетной записи — удалить ее из группы безопасности. Эта группа была представлена ​​в Windows Server 2012 R2.
Права пользователя по умолчанию: Нет
Серверы RAS и IAS Серверам в этой группе разрешен доступ к свойствам удаленного доступа пользователей.Локальная группа домена. По умолчанию эта группа не имеет участников. Компьютеры, на которых запущена маршрутизация и удаленный доступ услуги добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», Прочтите информацию для входа в систему и прочтите информацию об удаленном доступе. Права пользователя по умолчанию: Нет
Конечные серверы RDS Серверы, входящие в группу серверов конечных точек RDS, могут запускать виртуальные машины и сеансы хоста, на которых запускаются пользовательские программы RemoteApp и личные виртуальные рабочие столы.Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узла сеанса и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны быть в этой группе.
Права пользователя по умолчанию: Нет
Серверы управления RDS Серверы, входящие в группу серверов управления RDS, могут использоваться для выполнения рутинных административных действий на серверах, на которых запущены службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов.Серверы, на которых запущена служба центрального управления RDS, должны быть включены в эту группу. Права пользователя по умолчанию: Нет
Серверы удаленного доступа RDS Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и персональным виртуальным рабочим столам. При развертывании с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу.Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются при развертывании, должны быть в этой группе. Права пользователя по умолчанию: Нет
Контроллеры домена только для чтения Эта группа состоит из контроллеров домена только для чтения в домене. Контроллер домена только для чтения позволяет организациям легко развертывать контроллер домена в сценариях, где физическая безопасность не может быть гарантирована, например в филиалах, или в сценариях, где локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или в роли, связанной с приложениями.Права пользователя по умолчанию См. «Группа репликации запрещенных паролей RODC».
Пользователи удаленного рабочего стола Группа «Пользователи удаленного рабочего стола» на сервере узла сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешений на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или переместить. Он отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Права пользователя по умолчанию: Нет
Удаленный интерактивный вход в систему Это удостоверение представляет всех пользователей, которые в настоящее время вошли в систему с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие SID удаленного интерактивного входа, также содержат интерактивный SID.
Права пользователя по умолчанию: Нет
Пользователи удаленного управления Члены группы «Пользователи удаленного управления» могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows).Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю. Группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами через консоль диспетчера серверов, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды Windows PowerShell.
Права пользователя по умолчанию: Нет
Репликатор

Компьютеры, входящие в группу репликатора, поддерживают репликацию файлов в домене.Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа в систему, хранящихся в системном томе (SYSVOL).

Служба репликации DFS является заменой FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других настраиваемых (не SYSVOL) данных. Вам следует перенести все наборы реплик FRS, не относящиеся к SYSVOL, в репликацию DFS.
Права пользователя по умолчанию: Нет

Ограниченный Пользователи и компьютеры с ограниченными возможностями имеют ограниченную идентификацию.Эта группа удостоверений используется процессом, который выполняется в ограниченном контексте безопасности, например при запуске приложения со службой RunAs. Когда код выполняется с ограниченным уровнем безопасности, ограниченный SID добавляется к токену доступа пользователя.
Права пользователя по умолчанию: Нет
Аутентификация SChannel Права пользователя по умолчанию: Нет
Администраторы схемы Группа, которая существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме, глобальная группа, если домен находится в смешанном режиме . Группа уполномочена вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора для корневой домен леса. Поскольку эта группа имеет значительную власть в лесу, добавляйте пользователей с осторожностью.
Права пользователя по умолчанию: см. «Группа репликации запрещенных паролей RODC».
Операторы сервера Встроенная группа, существующая только в домене контроллеры.По умолчанию в группе нет участников. Операторы сервера могут интерактивный вход на сервер; создавать и удалять сетевые ресурсы; Начните и остановить услуги; резервное копирование и восстановление файлов; отформатируйте жесткий диск компьютер; и выключите компьютер.
Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Резервное копирование файлов и каталогов: SeBackupPrivilege
Измените системное время: SeSystemTimePrivilege
Изменить часовой пояс: SeTimeZonePrivilege
Принудительное завершение работы из удаленной системы: SeRemoteShutdownPrivilege
Восстановить файлы и каталоги SeRestorePrivilege
Выключите систему: SeShutdownPrivilege
Сервис

Любая служба, которая обращается к системе, имеет идентификатор службы.Эта группа удостоверений включает всех участников безопасности, которые вошли в систему как служба. Это удостоверение предоставляет доступ к процессам, которые выполняются службами Windows Server. Членство контролируется операционной системой.
Права пользователя по умолчанию:
Создание глобальных объектов: SeCreateGlobalPrivilege
Выдача себя за клиента после аутентификации: SeImpersonatePrivilege

Администраторы реплики хранилища Члены этой группы имеют полный и неограниченный доступ ко всем функциям Storage Replica.
Права пользователя по умолчанию: Нет
Группа управляемых системой счетов Членов этой группы управляет система.
Права пользователя по умолчанию: Нет
Серверы лицензий сервера терминалов Члены группы серверов лицензий сервера терминалов могут обновлять учетные записи пользователей в Active Directory информацией о выдаче лицензий.Это используется для отслеживания и составления отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS на пользователя дает одному пользователю право доступа к серверу терминалов с неограниченного числа клиентских компьютеров или устройств. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Права пользователя по умолчанию: Нет
Пользователи терминального сервера Любой пользователь, обращающийся к системе через службы терминалов, имеет удостоверение пользователя сервера терминалов.Это удостоверение позволяет пользователям получать доступ к приложениям сервера терминалов и выполнять другие необходимые задачи с помощью служб сервера терминалов. Членство контролируется операционной системой.
Права пользователя по умолчанию: Нет
Эта организация Права пользователя по умолчанию: Нет
Пользователи Встроенная группа. После первоначальной установки операционной системы единственным членом является группа «Прошедшие проверку».Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется в группу «Пользователи». группа на компьютере. Пользователи могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение компьютера и блокировка компьютер. Пользователи могут устанавливать приложения, которые разрешены только им. использовать, если программа установки приложения поддерживает каждого пользователя установка.
Эту группу нельзя переименовать, удалить или переместить.
Права пользователя по умолчанию: Нет
Группа авторизации доступа Windows Члены этой группы имеют доступ к вычисленному токену атрибута GroupsGlobalAndUniversal на объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователей или в объектах учетных записей компьютеров в доменных службах Active Directory.
Права пользователя по умолчанию: Нет
Диспетчер окон \ Группа диспетчеров окон Права пользователя по умолчанию:
Обход поперечной проверки: SeChangeNotifyPrivilege
Увеличьте рабочий набор процесса: SeIncreaseWorkingSetPrivilege
WinRMRemoteWMIUsers_

В Windows 8 и Windows Server 2012 вкладка «Общий доступ» была добавлена ​​в пользовательский интерфейс «Дополнительные параметры безопасности».На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.

Группа WinRMRemoteWMIUsers_ позволяет запускать команды PowerShell удаленно, тогда как группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами с помощью консоли Server Manager. Эта группа безопасности была представлена ​​в Windows Server 2012.
Права пользователя по умолчанию: Нет

Лучшие практики 6 групп безопасности Active Directory

Active Directory — это, по сути, реестр, содержащий всю информацию о сети, включая пользователей, группы, компьютеры, принтеры и серверы. Каждая из этих вещей, будь то физическая или виртуальная, считается «объектом» в Active Directory и имеет различные присвоенные ей атрибуты, такие как имя, номер или членство в группе.

Active Directory используется администраторами сети для назначения привилегий и доступа к системе, а также для управления тем, как различные объекты аутентифицируются в системе и показывают, что им доверяют.В случае взлома Active Directory к компонентам, обеспечивающим безопасность вашей ИТ-системы, может быть осуществлен злонамеренный доступ, что может привести к компрометации данных и активов вашей организации. Вот почему поддержание безопасности Active Directory абсолютно необходимо для защиты вашей организации от вторжений.

В этой статье я определяю, что именно представляют собой группы безопасности Active Directory (включая их функции и объем), прежде чем поделиться своим кратким руководством по передовым методам работы с группами безопасности Active Directory .Я также объясняю, почему я считаю, что SolarWinds ® Access Rights Manager — лучший инструмент, доступный на рынке сегодня, для поддержки ваших усилий по обеспечению безопасности AD.

Перейти к моему 6 рекомендаций групп безопасности AD :

  1. Защита групп и учетных записей по умолчанию
  2. Установить защиту паролем
  3. Монитор и аудит
  4. Минимизировать излишки
  5. Всегда обновлять
  6. Составьте план

Что такое группы безопасности Active Directory?

В Active Directory макет следует многоуровневой структуре, состоящей из доменов, деревьев и лесов .Домен — это группа объектов (например, пользователей или устройств) , совместно использующих одну и ту же базу данных Active Directory. Дерево — это набор доменов, а лес — это набор деревьев. Объекты в отдельных лесах не могут взаимодействовать друг с другом, и это действует как структурная граница безопасности. Иногда люди путаются и думают, что домены — это граница безопасности, когда они являются границей управления и организации — лес — единственная реальная граница безопасности. Ваши домены не защищены друг от друга, если они не находятся в разных лесах.

Active Directory группирует пользователей, устройства и другие объекты, чтобы ими можно было управлять как одним объектом. В Active Directory есть два основных типа групп: группы рассылки и группы безопасности .

Группы рассылки предназначены исключительно для рассылки электронной почты , например, для использования с Microsoft Exchange или Outlook . Вы можете добавлять или удалять пользователей из группы в зависимости от того, хотите ли вы, чтобы они получали соответствующие сообщения электронной почты.

Группы безопасности намного важнее, важны и должны быть защищены четкими протоколами безопасности , поскольку они регулируют доступ пользователей и компьютеров к ресурсам. Некоторые из этих ресурсов могут быть конфиденциальными, конфиденциальными или важными для организации . В результате этими группами безопасности необходимо тщательно управлять с точки зрения доступа, разрешений и аудита.

Функции групп безопасности Active Directory

С группами безопасности Active Directory можно делать две основные задачи:

  1. Назначьте права пользователя. Права пользователя могут быть назначены группе безопасности, чтобы определить, что пользователи в группе могут делать в домене или лесу. Для некоторых групп безопасности права пользователей автоматически назначаются для целей администрирования.
  2. Назначьте разрешения для ресурсов. Разрешения пользователя отличаются от прав пользователя. Права определяют возможности пользователей, тогда как разрешения относятся к доступу к ресурсам. Некоторые разрешения автоматически назначаются группам безопасности по умолчанию, включая группы операторов учетных записей и администраторов домена.Эти группы создаются автоматически при создании домена Active Directory. Из-за их автоматических разрешений безопасности вам необходимо проявлять особую осторожность при управлении этими группами.

Объем групп безопасности Active Directory

Группы Active Directory характеризуются своим объемом. Область действия определяет, какие пользователи могут принадлежать к группе, а также где в пределах леса или домена могут применяться разрешения группы. Есть четыре уровня охвата:

  1. Локальные — Локальные группы специфичны и доступны только на том компьютере, на котором они были созданы.
  2. Локальный домен — Локальные группы домена могут применяться в любом месте домена и могут быть полезны для управления разрешениями на ресурсы. В локальную группу домена могут входить члены любого типа, а также члены из доверенных доменов. Вы можете, например, создать локальную группу домена для менеджеров с разрешениями для различных папок на одном или нескольких серверах.
  3. Глобальные — Глобальные группы определяют коллекции объектов домена (пользователей, компьютеров, групп), обычно на основе бизнес-ролей.Обычно они используются как ролевые группы пользователей или компьютеров, например, для маркетинга или управления персоналом.
  4. Universal — универсальные группы для использования в многодоменных лесах. Вы можете определять роли и настраивать разрешения для ресурсов, распределенных более чем в одном домене. Универсальная группа хранится в домене, в котором вы ее создаете, но каталог групп хранит членство в группе и реплицирует это членство на весь лес.

Группы безопасности Active Directory включают операторов учетных записей, администраторов, администраторов DNS, администраторов домена, гостей, пользователей, защищенных пользователей, операторов сервера и многие другие. Понимание того, как подойти ко всем этим группам с оптимальным мышлением, является ключом к обеспечению безопасности вашей системы.

Наверх

Рекомендации групп безопасности Active Directory

Злоумышленники могут проникнуть в вашу систему, получив учетные данные пользователя или взломав учетную запись с помощью вируса, с помощью которого они могут затем предоставить себе дополнительные привилегии пользователя для доступа к ресурсам. Если злоумышленник получит доступ к вашей Active Directory и скомпрометирует жизненно важную группу безопасности или учетную запись, вся ваша система также может быть быстро скомпрометирована.

Следование этим рекомендациям по обеспечению безопасности Active Directory может гарантировать, что ваша Active Directory не будет взломана.

  1. Защита групп и учетных записей по умолчанию. Группы безопасности по умолчанию создаются при настройке домена Active Directory, и некоторые из этих групп имеют расширенные разрешения. Позаботьтесь о том, чтобы управлять этими группами должным образом, поскольку получение доступа к одной из них означает получение доступа к мощному инструменту. Например, убедитесь, что в группе администраторов домена нет повседневных учетных записей, кроме пользователя-администратора домена по умолчанию.Если другому человеку нужен доступ администратора домена, поместите его учетную запись в группу, пока он им нужен, а затем удалите ее снова, когда его работа будет выполнена.
    Используйте только учетную запись администратора домена для настройки домена и аварийного восстановления ; никто не должен использовать эту учетную запись ни для чего, кроме этих целей. Поместите пароль в безопасное место, доступное только по служебной необходимости.
    Убедитесь, что учетная запись локального администратора отключена. , поскольку она часто настраивается с одним и тем же паролем в каждом домене и имеет один и тот же SID во всех установках, что часто известно злоумышленникам.Отключите его, чтобы он не стал точкой доступа злоумышленников.
  2. Установите защиту паролем. Убедитесь, что у всех ваших пользователей есть 12-символьных парольных фраз (три или более случайных слова, сложенных вместе), а не 8-символьные сложные пароли. И если три раза неправильно ввести пароль, пользователь должен быть заблокирован. Используйте двухфакторную аутентификацию для дополнительной защиты паролем. Вы можете использовать Microsoft MFA или другие инструменты, такие как Duo и RSA.
  3. Монитор и аудит. Тщательно и непрерывно отслеживайте ваши события, журналы и процессы доступа к Active Directory. Следите за необычной или злонамеренной активностью, включая всплески неудачных попыток входа в систему или заблокированных учетных записей , изменения любых привилегированных групп, отключение или удаление антивирусного программного обеспечения или события входа / выхода.
    Кроме того, важно регулярно проверять, кто и к чему имеет доступ, и при необходимости изменять или удалять разрешения, чтобы убедиться, что никто не имеет большего доступа к безопасности, чем им необходимо.Мой инструмент для управления учетными записями пользователей — это SolarWinds Access Rights Manager, который может не только управлять вашими группами безопасности, но и обеспечивать понимание того, какие пользователи входят в какие группы.

    Диспетчер прав доступа позволяет вам регулярно проверять ваши системы, а также управлять, отслеживать и анализировать групповую политику и Active Directory. Он повышает безопасность, отслеживая, были ли внесены изменения, когда они были сделаны и кем, а также помогает идентифицировать любые учетные записи с высоким уровнем риска.
  4. Минимизируйте излишества. Установите только те инструменты и функции, которые вам нужны, и убедитесь, что учетные записи имеют только необходимые разрешения и являются частью групп, в которых они должны находиться. Если вы дадите всем много разрешений или доступа к вашей системе, это усложнит задачу для обнаружения внутренних угроз и оставляет вашу систему уязвимой, если у вас много людей в группах безопасности с высоким доступом.
  5. Всегда обновлять. Используйте диспетчер исправлений, чтобы поддерживать все программное обеспечение в вашей системе в актуальном состоянии. Хороший менеджер исправлений сообщит вам, есть ли уязвимости в любом из ваших программ , а также предоставит информацию обо всех обнаруженных угрозах, включая злоумышленников, нацеленных на лазейки в Active Directory, в частности.
  6. Составьте план. Разработайте четкий план подхода к управлению группами безопасности Active Directory, их настройке, обслуживанию и действиям в случае взлома учетной записи. Кибератаки могут быстро получить доступ к вашей системе и вывести из строя всю сеть, и очень важно иметь план реагирования, чтобы все сразу знали, что делать. Установите приоритет восстановления сервера и проведите пошаговые инструкции и обучение, чтобы обеспечить максимально быстрое время отклика.

Как настроить группы безопасности в Active Directory

Установив надежную защиту, минимизируя уязвимость и постоянно отслеживая, вы будете иметь все возможности для защиты своих систем от атак.Вот почему я рекомендую использовать такое решение, как Access Rights Manager от SolarWinds, для поддержки мониторинга и управления группами безопасности Active Directory, а также для обеспечения общей безопасности вашей организации.

Создание группы безопасности в Active Directory

Active Directory (AD) — это проверенное в боях программное обеспечение, которое многие администраторы компаний используют в качестве стандартного средства защиты от опасений по поводу доступа посторонних к данным. Но в AD есть много типов протоколов безопасности на выбор.Что, если я не хочу предоставлять своим пользователям доступ к электронной почте, а хочу, чтобы мои пользователи могли безопасно получать доступ к данным компании и изменять их аспекты? Как предоставить менеджеру больший доступ к серверу, чем одному из его дочерних предприятий?

В этом руководстве я опишу все, что я знаю о группах безопасности, о том, как создавать группы в Active Directory, и о лучших инструментах (например, моем любимом диспетчере прав доступа), которые вы можете использовать для лучшего управления и мониторинга разрешений пользователей в AD.

Что такое группа в Active Directory?
Что такое группа распространения vs.Группа безопасности в Active Directory?
Как создать группу безопасности в Active Directory
Почему компании создают группы безопасности в Active Directory?
Управление рисками с помощью групп безопасности
Управление разрешениями группы безопасности Active Directory

Что такое группа в Active Directory?

Active Directory — это программа Microsoft, используемая для сортировки пользователей по разным группам. Это централизованный способ для компании управлять своими учетными записями компьютеров и предоставлять доступ к данным компании различным пользователям.С точки зрения AD группа — это совокупность пользователей, которые имеют особый доступ к ресурсам компании посредством идентификатора безопасности (SID) или глобального уникального идентификатора (GUID ). Идентификаторы безопасности обычно используются для доступа отдельных лиц к ресурсам компании, а идентификаторы GUID — это более широкий инструмент группового доступа. Я могу создать несколько типов групп в AD. Например, можно сформировать группу, состоящую из отдельных пользователей, или глобальную группу (состоящую из всех лиц, отсортированных по определенному заголовку, например «Менеджер»), или локальную группу домена, включающую всех членов домена.

Что такое группа рассылки и группа безопасности в Active Directory?

Существует два основных типа групп, которые AD имеет дело с группами рассылки и группами безопасности. Группы безопасности предлагают гораздо больше функций и больший доступ к данным, чем группы рассылки, и именно на этом я сосредоточусь сегодня. Но, чтобы понять AD, мне сначала нужно объяснить разницу между этими двумя разновидностями.

Самый важный аспект группы — это группа безопасности или группа рассылки.Если мои группы предназначены для рассылки электронной почты или других типов односторонних уведомлений от центрального контроллера , то они кодируются как группы рассылки . Но если я хочу, чтобы мои пользователи имели доступ к данным и изменяли их, я должен отнести эти группы к определенной, более сложной категории — теперь они должны быть группами безопасности . Группы безопасности делятся на те же общие категории, что и группы рассылки (т. Е. Индивидуальные, глобальные, локальные в домене и т. Д.), Но центральный контроллер AD должен уделять особое внимание группам безопасности для управления рисками безопасности , связанными с предоставлением доступа многим лицам. для изменения данных и ресурсов компании.

Наверх

Как создать группу безопасности в Active Directory

Создать группу безопасности в Active Directory довольно просто. Более сложная часть — решить, как вы будете организовывать пользователей в своей сети, чтобы обеспечить необходимый доступ без ущерба для безопасности. Чтобы создать группу безопасности, сделайте следующее:

  • В Active Directory просто выберите «Создать» и нажмите «Группа
    • ».
  • Здесь вы можете назвать новую группу, выбрать «Универсальная» для области действия группы и «Безопасность» для типа группы
    • .
  • После создания группы вы можете найти вкладку «Члены» в разделе «Свойства» и нажать «Добавить».
    • .
  • Затем вы можете добавить желаемых пользователей в группу безопасности

Почему компании создают группы безопасности в Active Directory?

Группы безопасности — это полезный инструмент для управления тем, какие пользователи имеют доступ к каким данным, а также для установления разных уровней безопасности для разных типов пользователей.Например, , используя AD, компания может создать группу безопасности с пометкой «Менеджеры», которая позволяет всем назначенным менеджерам отправлять свои ежемесячные данные в штаб-квартиру или отправлять данные для своих сотрудников, которые другие сотрудники не должны иметь возможности изменять. Вы также можете создать группу безопасности под названием «Партнеры», чтобы предоставить доступ к вводу данных нижнего уровня назначенным партнерам.

Active Directory также позволяет компании изменять статус членов группы в любое время.При быстром посещении портала AD вы можете изменить параметры доступа, делегированного определенной группе . Вы можете легко переместить пользователя из ассоциированной группы в группу менеджеров или полностью удалить пользователя из групп. SID / GUID пользователя дает ему права доступа только той группы, к которой он принадлежит.

Полезной особенностью групп безопасности AD является их способность к самодостаточности. Отдельные лица, не входящие в ИТ-команду, могут управлять параметрами группы. Это снимает большую нагрузку с ИТ-специалистов и может высвободить много времени и денег. Когда члены группы безопасности могут определять свою судьбу, они могут изменять свою группу, чтобы принимать наиболее разумные решения компании .

Проблема в том, что многие менеджеры групп могут не обладать высокой ИТ-грамотностью, необходимой для модификации такой программы, как AD.

Чтобы группы могли легко управлять своими делами, я рекомендую такую ​​программу, как Access Rights Manager (ARM) от SolarWinds. Одним нажатием кнопки вы можете делегировать членов группы для управления параметрами доступа своей группы и контроля соблюдения требований пользователей.

С помощью такой программы, как ARM, группы безопасности могут отслеживать свои собственные уровни, не требуя дополнительной работы от ИТ-команды. Назначенные пользователи могут предоставлять и отменять доступ к группам безопасности без посредников.

Наверх

Контроль рисков с помощью групп безопасности

Для киберпреступников вход в систему может быть основной целью. Всякий раз, когда компания делегирует управление своими ресурсами пользователям в группах безопасности, неизбежно возникает риск. Мне нужно разрешить группам безопасности моей компании отправлять данные и получать доступ к информации частной компании, но одно нарушение безопасности от доверенного пользователя может спровоцировать крах крупной компании.

Это еще одна причина, по которой владельцу данных полезно легко управлять своими собственными правами доступа. SolarWinds ® Access Rights Manager имеет интуитивно понятный интерфейс, обеспечивающий централизованный доступ к угрозам безопасности группы. ARM также предоставляет отчеты о доступе пользователей Active Directory, чтобы гарантировать соблюдение требований пользователями, и обеспечивает надежный контрольный журнал на случай каких-либо отклонений в поведении пользователей.

Еще одна полезная мера, которую вы можете предпринять для минимизации риска безопасности, — это мониторинг активности каждого приложения на сервере, независимо от того, находятся ли приложения в облачном пространстве или на виртуальных машинах.Киберпреступники представляют собой серьезную угрозу для любой компании двадцать первого века, и, хотя группы безопасности могут иметь важное значение для успеха, компаниям также нужен надежный способ отслеживать, какие действия всегда происходят в их группах безопасности.

Для этого я рекомендую SolarWinds Server & Application Monitor (SAM). Обычно для начала требуется всего несколько минут, и его на удивление легко настроить.

SAM помогает мне визуализировать всю активность приложений на моем сервере и предлагает панель мониторинга, на которой я могу анализировать ИТ-данные с помощью простых в использовании визуальных элементов.SAM даже контролирует емкость моего сервера, чтобы убедиться, что я не нарушаю границы хранилища на моем сервере.

Управление разрешениями группы безопасности Active Directory

Никто не хочет беспокоиться о безопасности счетов своей компании. Почти каждый бизнес, от крупных компаний до средних предприятий в более локальном масштабе, должен мириться с тем фактом, что многие независимые агенты имеют доступ к учетным записям компании, паролям, данным и серверам. В чужих руках такой доступ может стать решающим фактором между плавным плаванием и корпоративной катастрофой.Убедитесь, что вы разбираетесь в группах безопасности в Active Directory и имеете в своем распоряжении лучшие инструменты для управления разрешениями AD. Я рекомендую бесплатно опробовать такой инструмент, как Access Rights Manager, в течение 30 дней, чтобы увидеть, может ли этот уровень понимания помочь улучшить общую безопасность вашей организации.

Рекомендации по управлению группами Active Directory

Использование групп Microsoft Active Directory — лучший способ контролировать доступ к ресурсам и применять модель с наименьшими привилегиями.Это также позволяет вам более легко перечислять разрешения для любого ресурса, будь то файловый сервер Windows или база данных SQL.

Области действия группы

Какие объекты вы можете добавить в группу AD, зависит от области действия этой группы.

  • Местные группы действительно местные. Они создаются, определяются и доступны только на том компьютере, на котором они были созданы. Не создавайте новые локальные группы на рабочих станциях; в большинстве случаев группы «Пользователи» и «Администраторы» — единственные две локальные группы, которыми нужно управлять.
  • Локальные группы домена следует использовать для управления разрешениями на ресурсы, поскольку эту группу можно применять повсюду в домене. Локальная группа домена может включать членов любого типа в домене и членов из доверенных доменов. Например, предположим, что вам нужно управление доступом к набору папок на одном или нескольких серверах, содержащих информацию для менеджеров. Группа, которую вы создаете для этой цели, должна быть локальной группой домена (например, «DL_Managers_Modify»).
  • Универсальные группы в Active Directory полезны в многодоменных лесах.Они позволяют вам определять роли или управлять ресурсами, которые охватывают более одного домена. Каждая универсальная группа хранится в домене, в котором она была создана, но ее членство в группе хранится в глобальном каталоге и реплицируется по всему лесу. Не используйте универсальные группы, если у вас только один домен.
  • Глобальные группы в основном используются для определения коллекций объектов домена (пользователей, других глобальных групп и компьютеров) на основе бизнес-ролей, что означает, что они в основном служат группами ролей.Ролевые группы пользователей (например, «HR» или «Маркетинг») и ролевые группы компьютеров (например, «Маркетинговые рабочие станции») обычно являются глобальными группами.

Рекомендации по вложенным группам Active Directory.

Как показано в таблице выше, группа может быть членом другой группы; этот процесс называется вложением. Вложение помогает вам лучше управлять и администрировать вашу среду на основе бизнес-ролей, функций и правил управления.

  • Учетные записи пользователей и компьютеров должны быть членами глобальных групп, которые представляют бизнес-роли, например «Продажи» или «HR».Эти глобальные группы должны быть членами локальных групп домена, которые представляют правила управления — например, определяют, кто к чему имеет доступ. Этим локальным группам домена предоставляется доступ к ресурсам. В случае общей папки доступ предоставляется путем добавления локальной группы домена в список управления доступом (ACL) папки с разрешениями, обеспечивающими соответствующий уровень доступа.
  • Другими словами:
    • Добавить учетные записи пользователей и компьютеров в глобальную группу.
    • Добавьте глобальную группу к универсальной группе.
    • Добавьте универсальную группу в локальную группу домена.
    • Применение разрешений группы безопасности Active Directory для локальной группы домена к ресурсу.
    • Учетные записи в исходной глобальной группе будут иметь доступ к ресурсу на основе разрешений, примененных к локальной группе домена.

Разница между группами безопасности и рассылки

Группы безопасности Active Directory и группы рассылки AD — разные вещи. Например, вы можете использовать группы безопасности для назначения разрешений на общие ресурсы и группы рассылки Active Directory для создания списков рассылки электронной почты в среде Exchange.Технология заключается в том, что когда пользователь «входит в систему» ​​на компьютере, машина создает «токен доступа» пользователя. Маркер доступа содержит все SID группы безопасности (идентификаторы безопасности), членом которых является пользователь. SID групп рассылки не включены. Чтобы упростить задачу — вы не можете назначать разрешения для групп рассылки, и даже если вы это сделаете, это не повлияет вообще.

Что такое группа пользователей Windows и для чего она нужна?

Безопасность важна в любой цифровой среде, поэтому, чтобы упростить пользователям управление разрешениями и другими учетными записями пользователей, Windows предлагает полезную функцию под названием группы пользователей .Хотя сначала это может показаться немного пугающим, эту функцию не так сложно понять и использовать, и она может просто сэкономить вам много времени и энергии при управлении несколькими учетными записями. Давайте подробнее рассмотрим, что такое группы пользователей и как их можно использовать в своих интересах на любом компьютере с Windows:

Что такое группа пользователей в Windows?

Чтобы понять, что такое группа пользователей в Windows, вы должны сначала знать, что такое учетная запись пользователя.(Очень) краткое определение таково: учетная запись пользователя — это набор настроек, используемых Windows для понимания ваших предпочтений. Он также используется для управления файлами и папками, к которым вы получаете доступ, задачами, которые вам разрешено выполнять, устройствами и ресурсами, которые вам разрешено использовать, и т. Д. Учетные записи пользователей также являются единственным способом аутентификации и получения разрешения на использование вашего устройства Windows. Это краткое определение должно стать хорошим началом для понимания того, какие группы пользователей находятся в Windows. Однако, если вам нужна дополнительная информация об учетных записях пользователей, о том, что они собой представляют и для чего они полезны, сначала прочтите, что такое учетная запись пользователя или имя пользователя в Windows.

Список учетных записей пользователей в Windows 10

Чтобы расширить эти знания, в операционных системах Windows группа пользователей представляет собой набор из нескольких учетных записей пользователей, которые имеют одинаковые права доступа к компьютеру и / или сетевым ресурсам и имеют общие права безопасности. Вот почему вы часто слышите, как ИТ-специалисты называют группы пользователей группами безопасности . Группы пользователей можно разделить на три типа:

  • Локальные группы — это группы пользователей, которые существуют на вашем компьютере или устройстве Windows.Они определяются локально, и ими можно управлять с помощью инструмента «Локальные пользователи и группы» (lusrmgr.msc). Это пользовательских групп , с которыми работают домашние пользователи, и те, о которых мы поговорим в этой статье.
  • Группы безопасности — с ними связаны дескрипторы безопасности. Группы безопасности используются в доменах Windows с Active Directory.
  • Группы рассылки — полезны для рассылки писем для пользователей, которые принадлежат доменам с Active Directory .

Список учетных записей пользователей, отображаемых lusrmgr.msc

Группы безопасности и группы рассылки — это группы пользователей, которые используются в бизнес-средах и корпоративных сетях. Например, вы можете столкнуться с группами пользователей безопасности на своем рабочем месте, особенно если вы работаете в большой компании, в которой есть несколько отделов с большим количеством компьютеров, как мобильных, так и рабочих станций. Системные администраторы используют группы, чтобы ограничить доступ пользователей к функциям операционной системы, которые они не должны изменять или устанавливать разные уровни доступа для приложений, доступных в сети компании.

Хотя правильным термином для групп пользователей, которые мы рассмотрим в этой статье, является локальных групп пользователей , мы будем использовать более простую форму групп пользователей , чтобы упростить понимание информации, представленной ниже.

Почему в Windows есть группы пользователей?

Допустим, вы хотите дать родственникам возможность пользоваться вашим компьютером, когда они заезжают на каникулы. Вы можете создать учетную запись для своего семилетнего двоюродного брата, чтобы он мог играть в некоторые игры: одну для вашей тети, а другую — для вашего дяди.Однако вы не хотите предоставлять им права администратора, чтобы они не меняли важные настройки в вашей операционной системе и не получали доступ к вашей конфиденциальной личной информации.

Чтобы справиться с ситуацией изящным образом, вы можете сгруппировать все их учетные записи в группу пользователей и предоставить им одинаковые привилегии безопасности без необходимости устанавливать права каждой учетной записи индивидуально.

Группы пользователей — это важная функция безопасности, которая в первую очередь направлена ​​на упрощение управления большим количеством пользователей.Прочтите, как создать нового пользователя в Windows 10 и как добавить пользователя в группу для получения дополнительной информации.

Локальные пользователи и группы Windows 10

Сильная сторона групп пользователей заключается в том, что они предлагают централизованный способ управления разрешениями нескольких пользователей без необходимости настраивать каждую учетную запись отдельно. Когда группа пользователей получает доступ к определенному ресурсу, все учетные записи пользователей, которые являются частью этой группы, получают доступ к данному ресурсу.Обратите внимание: хотя вы можете и должны использовать учетную запись пользователя для входа на компьютер или устройство Windows, вы не можете использовать группу пользователей для входа в систему.

Какие типы групп пользователей присутствуют в Windows?

Есть много типов групп пользователей, которые по умолчанию существуют на всех компьютерах Windows. Вот самые важные и полезные группы пользователей по умолчанию в Windows:

  • Администраторы : пользователи из этой группы имеют полный контроль над компьютером Windows и всем на нем, включая другие учетные записи пользователей.
  • Операторы резервного копирования : учетные записи пользователей из этой группы могут выполнять резервное копирование и восстановление файлов на компьютере Windows, независимо от прав доступа к этим файлам.
  • Гости : для пользователей из этой группы при входе в систему устанавливаются временные профили, которые автоматически удаляются при выходе из системы.
  • Опытные пользователи : могут делать почти все, что могут администраторы, включая создание других учетных записей пользователей или даже их удаление. Однако они не могут изменить настройки для группы Администраторы .Это также ответ на вопрос, который нам задали некоторые люди: какой тип группы пользователей обеспечивает обратную совместимость с Windows XP?
  • Пользователи : стандартные учетные записи пользователей. Это пользователи, которые могут делать все типичные вещи, которые люди делают на своих компьютерах, например просматривать Интернет, использовать установленные приложения, получать доступ к файлам на компьютере или печатать. Однако обычные пользователи не могут делать такие вещи, как создание других учетных записей пользователей, они не могут устанавливать приложения на компьютер, и они не могут устанавливать принтер на компьютер.

Стороннее программное обеспечение и службы также могут создавать группы пользователей, используемые для различных служб. Самый распространенный пример — программное обеспечение для виртуализации. Например, некоторые продукты VMWare , такие как VMware Converter , создают группы пользователей, такие как __vmware__ и ___vmware_conv_sa___ , а также учетные записи ___VMware_Conv_SA___ , которые используются для запуска виртуальных машин и автономных серверных заданий.

__vmware__ группа пользователей в Windows 10

В операционных системах Windows по умолчанию присутствуют и другие типы групп пользователей.Если вы хотите узнать больше обо всех из них, прочтите Как управлять локальными пользователями и группами в Windows 10 с помощью lusrmgr.msc.

Кто может управлять группами пользователей?

По умолчанию, единственные пользователи, которым разрешено вносить изменения в группы пользователей, — это те, кто принадлежит к группам администраторов или опытных пользователей . На изображении ниже вы можете видеть, что единственными членами группы Administrators являются пользователи Administrator и Digital Citizen .

Группа администраторов в Windows 10

Если вы попытаетесь внести изменения в группу пользователей, войдя в систему с учетной записью пользователя, не входящей в группу Администраторы или Опытные пользователи , вы получите следующую ошибку: «Доступ запрещен».

Стандартные пользователи не могут вносить изменения в группы пользователей

Как увидеть группы пользователей Windows, существующие на вашем компьютере

Вы можете управлять существующими пользователями и группами пользователей только из учетной записи администратора.Другими словами, если вы хотите просматривать и изменять группы пользователей, вы должны войти в систему с учетной записью, которая является частью группы пользователей Администраторы .

После входа в систему с правильной учетной записью откройте инструмент «Управление компьютером» и используйте оснастку Локальные пользователи и группы , чтобы просмотреть список групп . Однако обратите внимание, что эта оснастка доступна только в некоторых выпусках Windows: Windows 7 Professional, Ultimate и Enterprise, Windows 8.1 Pro и Enterprise, а также Windows 10 Pro и Enterprise.

Список групп пользователей в Windows 10

Вы также можете получить список всех локальных групп на вашем компьютере, выполнив команду net localgroup в PowerShell или командной строке.

Команда net localgroup показывает все определенные локальные группы пользователей

Как узнать, к каким группам пользователей Windows принадлежит ваша учетная запись

Самый простой способ узнать, к каким группам пользователей принадлежит ваша учетная запись, — это использовать команду whoami / groups .Откройте командную строку или PowerShell , введите whoami / groups и нажмите Введите .

Команда whoami / groups показывает список групп, к которым принадлежит пользователь.