Přehled implicitních uživatelů, skupin a speciálních identit ve Windows https://ss64.com/nt/syntax-security_groups.html

Speciální identity jsou implicitní zástupné symboly, nejsou uvedeny v Active Directory, ale jsou dostupné při použití oprávnění – členství automaticky vypočítává OS.

Výchozí skupina Výchozí uživatel nebo vlastník relace Zvláštní identita Popis

Access Control Assistance Operators

Vzdáleně se dotazujte na autorizační atributy a oprávnění pro prostředky v počítači.
BuiltIn Local.
Výchozí uživatelská práva: Žádná

Account Operators

Uděluje uživateli omezená oprávnění k vytváření účtu. Členové této skupiny mohou vytvářet a upravovat většinu typů účtů, včetně účtů uživatelů, místních skupin a globálních skupin, a členové se mohou přihlásit místně k řadičům domény.

Členové skupiny Account Operators nemohou spravovat uživatelský účet Administrator, uživatelské účty administrátorů ani skupiny Administrators, Server Operators, Account Operators, Backup Operators nebo Print Operators. Členové této skupiny nemohou měnit uživatelská práva. Výchozí uživatelská práva: Povolit místní přihlášení: SeInteractiveLogonRight

Administrator

Uživatelský účet pro správce systému. Tento účet je prvním účtem vytvořeným během instalace operačního systému. Účet nelze smazat ani uzamknout. Je členem skupiny Administrators a nelze jej z této skupiny odebrat.

Administrators

Vestavěná skupina. Uděluje úplný a neomezený přístup k počítači, nebo pokud je počítač povýšen na řadič domény, mají členové neomezený přístup k doméně.

Tuto skupinu nelze přejmenovat, odstranit ani přesunout. Tato vestavěná skupina řídí přístup ke všem řadičům domény ve své doméně a může změnit členství všech skupin pro správu. Členství mohou upravovat členové následujících skupin: výchozí služba Administrators, Domain Admins v doméně nebo Enterprise Admins.

Skupina je výchozím vlastníkem jakéhokoli objektu, který je vytvořen členem skupiny.
Výchozí uživatelská práva pro administrátory

Allowed RODC Password Replication Group

Správa zásad replikace hesel RODC. Skupina Denied RODC Password Replication Group obsahuje řadu vysoce privilegovaných účtů a skupin zabezpečení. Skupina Denied RODC Password Replication nahrazuje skupinu Povolená replikace hesla RODC.
Výchozí uživatelská práva: Žádná

Anonymous Logon

Uživatel, který se přihlásil anonymně. Tato identita umožňuje anonymní přístup ke zdrojům, jako je webová stránka, která je publikována na podnikových serverech.
Výchozí uživatelská práva: Žádná

Authenticated Users

Skupina, která zahrnuje všechny uživatele, jejichž identita byla ověřena při přihlášení. Členství je řízeno operačním systémem. Tato identita umožňuje přístup ke sdíleným prostředkům v rámci domény, jako jsou soubory ve sdílené složce, která by měla být přístupná všem pracovníkům v organizaci. Výchozí uživatelská práva:
Přístup k tomuto počítači ze sítě: SeNetworkLogonRight
Přidat pracovní stanici do domény: SeMachineAccountPrivilege (Často se odstraňuje v prostředích, která mají správce IT.)
Obejít kontrolu průchodu: SeChangeNotifyPrivilege

Backup Operators

Vestavěná skupina. Ve výchozím nastavení nemá skupina žádné členy. Operátoři zálohování mohou zálohovat a obnovovat všechny soubory v počítači bez ohledu na oprávnění, která tyto soubory chrání. Operátoři zálohování se také mohou přihlásit k počítači a vypnout jej.
Výchozí uživatelská práva:
Povolit místní přihlášení: SeInteractiveLogonRight
Zálohujte soubory a adresáře: SeBackupPrivilege
Přihlásit se jako dávková úloha: SeBatchLogonRight
Obnovení souborů a adresářů: SeRestorePrivilege
Vypnout systém: SeShutdownPrivilege

Batch

Každý uživatel nebo proces, který přistupuje k systému jako dávková úloha (nebo prostřednictvím dávkové fronty), má identitu Dávka. Tato identita umožňuje dávkovým úlohám spouštět naplánované úlohy, jako je například úloha nočního čištění Členství je řízeno operačním systémem.
Výchozí uživatelská práva: Žádná

Certificate Service DCOM Access

Členové této skupiny se mohou připojit k certifikačním autoritám v podniku.
Výchozí uživatelská práva: Žádná

Cert Publishers

Globální skupina, která zahrnuje všechny počítače, na kterých je spuštěna podniková certifikační autorita. Vydavatelé certifikátů jsou oprávněni publikovat certifikáty pro objekty uživatele ve službě Active Directory.
Výchozí uživatelská práva: Žádná

Cert Server Admins

Správci certifikační autority – oprávnění spravovat certifikáty pro objekty uživatelů v Active Directory. (místní doména)

Cert Requesters

Členové mohou žádat o certifikáty (místní doména)

Cloneable Domain Controllers

Členové skupiny Cloneable Domain Controllers, kteří jsou řadiči domény, mohou být klonováni.
Výchozí uživatelská práva: Žádná

Cryptographic Operators

Členové této skupiny jsou oprávněni provádět kryptografické operace. Tato skupina zabezpečení byla přidána v aktualizaci Windows Vista Service Pack 1 (SP1) ke konfiguraci brány Windows Firewall pro IPsec v režimu Common Criteria.
Výchozí uživatelská práva: Žádná

Creator Group

Osoba, která vytvořila soubor nebo adresář, je členem této speciální skupiny identit. Operační systémy Windows Server používají tuto identitu k automatickému udělení přístupových oprávnění tvůrci souboru nebo adresáře. Zástupný identifikátor zabezpečení (SID) je vytvořen v položce řízení přístupu (ACE). Když je ACE zděděno, systém nahradí toto SID SID pro primární skupinu aktuálního vlastníka objektu. Primární skupinu používá pouze subsystém Portable Operating System Interface for UNIX (POSIX).
Výchozí uživatelská práva: Žádná

Creator Owner

Osoba, která vytvořila soubor nebo adresář, je členem této speciální skupiny identit. Operační systémy Windows Server používají tuto identitu k automatickému udělení přístupových oprávnění tvůrci souboru nebo adresáře. Zástupný SID je vytvořen v dědičné ACE. Když je ACE zděděno, systém nahradí toto SID SID pro aktuálního vlastníka objektu.

Denied RODC Password Replication Group

Členové skupiny Denied RODC Password Replication nemohou mít svá hesla replikována na žádný řadič domény pouze pro čtení. Účelem této skupiny zabezpečení je správa zásad replikace hesel RODC. Tato skupina obsahuje různé účty s vysokými oprávněními a skupiny zabezpečení.
Výchozí uživatelská práva: Žádná

Device Owners

Tato skupina se aktuálně nepoužívá ve Windows.

Výchozí uživatelská práva:
Povolit místní přihlášení: SeInteractiveLogonRight
Přístup k tomuto počítači ze sítě: SeNetworkLogonRight
Obejít kontrolu průchodu: SeChangeNotifyPrivilege
Změna časového pásma: SeTimeZonePrivilege

DialUp

Každý uživatel, který přistupuje do systému prostřednictvím vytáčeného připojení, má identitu vytáčeného připojení. Tato identita odlišuje uživatele telefonického připojení od jiných typů ověřených uživatelů.

Digest Authentication

Výchozí uživatelská práva: Žádná

Distributed COM Users

Členové skupiny Distributed COM Users mohou spouštět, aktivovat a používat objekty Distributed COM v počítači.
Výchozí uživatelská práva: Žádná

DnsAdmins (instalováno s DNS)

Členové této skupiny mají administrativní přístup ke službě DNS Server. Výchozí oprávnění jsou následující: Povolit: Číst, Zápis, Vytvořit všechny podřízené objekty, Odstranit podřízené objekty, Zvláštní oprávnění. Tato skupina nemá žádné výchozí členy.
Výchozí uživatelská práva: Žádná

DnsUpdateProxy (instalováno s DNS)

Členy této skupiny jsou klienti DNS, kteří mohou provádět dynamické aktualizace jménem jiných klientů, jako jsou servery DHCP. Tato skupina nemá žádné výchozí členy.
Výchozí uživatelská práva: Žádná

Domain Admins

Globální skupina, jejíž členové jsou oprávněni spravovat doménu. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích, které se připojily k doméně, včetně řadičů domény. Domain Admins je výchozím vlastníkem jakéhokoli objektu, který je vytvořen ve službě Active Directory domény kterýmkoli členem skupiny. Pokud členové skupiny vytvoří další objekty, například soubory, výchozím vlastníkem je skupina Administrators.
Výchozí uživatelská práva: jako správci

Domain Computers

Globální skupina, která zahrnuje všechny počítače, které se připojily k doméně, s výjimkou řadičů domény.
Výchozí uživatelská práva: Žádná

Domain Controllers

Globální skupina, která zahrnuje všechny řadiče domény v doméně. Nové řadiče domény jsou do této skupiny přidány automaticky.
Výchozí výchozí uživatelská práva: Žádná

Domain Guests

Globální skupina, která má ve výchozím nastavení pouze jednoho člena, vestavěný účet hosta domény.
Výchozí uživatelská práva: Viz 'Hosté'

Domain Users

Globální skupina, která ve výchozím nastavení zahrnuje všechny uživatelské účty v doméně. Když vytvoříte uživatelský účet v doméně, bude automaticky přidán do této skupiny.
Výchozí uživatelská práva: Viz 'Uživatelé'

Enterprise Admins

Skupina, která existuje pouze v kořenové doméně doménové struktury Active Directory. Je to univerzální skupina, pokud je doména v nativním režimu, globální skupina, pokud je doména ve smíšeném režimu. Skupina je oprávněna provádět změny v celé doménové struktuře ve službě Active Directory, jako je přidávání podřízených domén. Ve výchozím nastavení je jediným členem skupiny účet správce pro kořenovou doménu doménové struktury.
Výchozí uživatelská práva:
Viz Správci
Viz Denied RODC Password Replication Group

Enterprise Key Admins

Členové této skupiny mohou provádět administrativní akce s klíčovými objekty v doménové struktuře. Skupina Enterprise Key Admins byla zavedena v systému Windows Server 2016.
Výchozí uživatelská práva: Žádná

Enterprise Read-Only Domain Controllers

Členové této skupiny jsou řadiči domény pouze pro čtení v podniku. S výjimkou hesel účtů obsahuje řadič domény jen pro čtení všechny objekty a atributy služby Active Directory, které uchovává zapisovatelný řadič domény.
Výchozí uživatelská práva: Žádná

Enterprise Domain Controllers

Skupina, která zahrnuje všechny řadiče domény doménovou strukturu adresářové služby Active Directory. Členství je řízeno operačním systémem.
Výchozí uživatelská práva:
Přístup k tomuto počítači ze sítě: SeNetworkLogonRight
Povolit místní přihlášení: SeInteractiveLogonRight

Event Log Readers

Členové této skupiny mohou číst protokoly událostí z místních počítačů. Skupina se vytvoří, když je server povýšen na řadič domény.
Výchozí uživatelská práva: Žádná

Everyone

Všichni interaktivní, síťoví, telefonické a ověření uživatelé jsou členy skupiny Everyone. Tato speciální skupina identit poskytuje široký přístup k systémovým prostředkům. Kdykoli se uživatel přihlásí k síti, je automaticky přidán do skupiny Everyone. V počítačích se systémem Windows 2000 a staršími zahrnovala skupina Everyone jako výchozího člena skupinu Anonymous Logon, ale od systému Windows Server 2003 skupina Everyone obsahuje pouze Authenticated Users a Guest; a ve výchozím nastavení již neobsahuje anonymní přihlášení (ačkoli to lze změnit). Členství je řízeno operačním systémem.
Výchozí uživatelská práva:
Přístup k tomuto počítači ze sítě: SeNetworkLogonRight
Jednat jako součást operačního systému: SeTcbPrivilege
Obejít kontrolu průchodu: SeChangeNotifyPrivilege

Group Policy Creators Owners

Globální skupina, která je oprávněna vytvářet nové objekty zásad skupiny ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny správce. Výchozím vlastníkem nového objektu zásad skupiny je obvykle uživatel, který jej vytvořil. Pokud je uživatel členem skupiny Administrators nebo Domain Admins, jsou všechny objekty vytvořené uživatelem ve vlastnictví skupiny. Vlastníci mají plnou kontrolu nad objekty, které vlastní.
Výchozí uživatelská práva: Viz 'Denied RODC Password Replication Group'.

Guest

Vestavěná skupina. Ve výchozím nastavení je jediným členem účet hosta. Skupina Hosté umožňuje příležitostným nebo jednorázovým uživatelům přihlásit se s omezenými oprávněními k vestavěnému účtu hosta v počítači. Když se člen skupiny Hosté odhlásí, celý profil se smaže. To zahrnuje vše, co je uloženo v adresáři %userprofile%, včetně informací o podregistru uživatele, vlastních ikon na ploše a dalších nastavení specifických pro uživatele. To znamená, že host musí k přihlášení do systému použít dočasný profil.
Výchozí uživatelská práva: Žádná

Hyper-V Administrators

Členové skupiny Hyper-V Administrators mají úplný a neomezený přístup ke všem funkcím Hyper-V. Přidání členů do této skupiny pomáhá snížit počet členů požadovaných ve skupině Administrators a dále odděluje přístup. Zavedeno v systému Windows Server 2012.
Výchozí uživatelská práva: Žádná

IIS_IUSRS

IIS_IUSRS je vestavěná skupina, kterou používá Internetová informační služba počínaje službou IIS 7.0. Operační systém zaručuje, že integrovaný účet a skupina budou mít vždy jedinečné SID. Služba IIS 7.0 nahrazuje účet IUSR_MachineName a skupinu IIS_WPG skupinou IIS_IUSRS, aby bylo zajištěno, že skutečné názvy používané novým účtem a skupinou nebudou nikdy lokalizovány.
Výchozí uživatelská práva: Žádná

Incoming Forest Trust Builders

Členové skupiny Incoming Forest Trust Builders mohou vytvářet příchozí, jednosměrné vztahy důvěryhodnosti do této doménové struktury. Služba Active Directory poskytuje zabezpečení ve více doménách nebo doménových strukturách prostřednictvím vztahů důvěryhodnosti domén a doménových struktur. Tuto skupinu nelze přejmenovat, odstranit ani přesunout.
Výchozí uživatelská práva: Žádná

Vestavění uživatelé

  1. Administrator: uživatelský účet pro administraci systému

  2. DefaultAccount: učet spravován systémem

  3. Guest: limitovaná práva, není zaheslovaný

  4. WDAGUtilityAccount: část Windows Defender, spravován systémem

Vestavěné skupiny

  1. Access Control Assistance Operators: členové této skupiny mohou vzdáleně dotazovat na autorizační atributy a oprávnění pro prostředky v počítači

  2. Account Operators: členové této skupiny mohou tvořit a upravovat většinu účtů

  3. Administrators: členové této skupiny mají kompletní a neomezený přístup k počítači

  4. Allowed RODC Password Replication: členové této skupiny spravují zásady replikace hesel řadiče domény (read-only)

  5. Backup Operators: členové této skupiny mohou zálohovat a obnovovat všechny soubory v počítači bez ohledu na oprávnění, která tyto soubory chrání

  6. Certificate Service DCOM Access: členové této skupiny se mohou připojit k certifikačním autoritám

  7. Cert Publishers: členové této skupiny jsou oprávněni publikovat certifikáty pro objekty uživatelů ve službě Active Directory

  8. Cloneable Domain Controllers: členové této skupiny mohou klonovat řadiče domény

  9. Cryptographic Operators: členové této skupiny jsou oprávněni provádět kryptografické operace

  10. Denied RODC Password Replication: členové této skupiny mohou odepřít konkrétním uživatelům domény možnost ukládat jejich hesla do mezipaměti a mít je uložena na řadiči domény pouze pro čtení

  11. Device Owners: skupina je jednou z výchozích skupin zabezpečení ve službě Active Directory pro Windows Server

  12. DHCP Administrators: členové skupiny DHCP Administrators mohou vytvářet, odstraňovat a spravovat různé oblasti oboru serveru

  13. DHCP Users: členové skupiny DHCP Users mohou vidět, které obory jsou aktivní nebo neaktivní, zjistit, které adresy IP jsou přiřazeny, a zobrazit problémy s připojením, pokud není server DHCP správně nakonfigurován

  14. Distributed COM Users: členové skupiny Distributed COM Users mohou spouštět, aktivovat a používat objekty Distributed COM v počítači

  15. DnsUpdateProxy: členové skupiny DnsUpdateProxy jsou klienti DNS. Mohou provádět dynamické aktualizace jménem jiných klientů, jako jsou servery DHCP

  16. DnsAdmins: členové skupiny DnsAdmins mají přístup k síťovým informacím DNS

  17. Domain Admins: členové skupiny mají oprávnění ke správě domény zabezpečení Domain Admins

  18. Domain Computers: tato skupina může zahrnovat všechny počítače a servery, které se připojily k doméně, s výjimkou řadičů domény

  19. Domain Controllers: tato skupina může zahrnovat všechny řadiče domény v doméně

  20. Domain Guests: tato skupina zahrnuje vestavěný účet hosta domény

  21. Domain Users: tato skupina zahrnuje všechny uživatelské účty v doméně

  22. Enterprise Admins: tato skupina existuje pouze v kořenové doméně doménové struktury Active Directory

  23. Enterprise Key Admins: členové této skupiny mohou provádět administrativní akce s klíčovými objekty v doménové struktuře

  24. Enterprise Read-only Domain Controllers: členové této skupiny jsou RODC

  25. Event Log Readers: členové této skupiny mohou číst protokoly událostí z místních počítačů

  26. Group Policy Creator Owners: členové této skupiny jsou oprávněni vytvářet, upravovat a odstraňovat objekty zásad skupiny v doméně

  27. Guests: členové této skupiny mají ve výchozím nastavení stejný přístup jako členové skupiny Users, kromě toho, že účet Guest má další omezení

  28. Hyper-V Administrators: členové této skupiny mají úplný a neomezený přístup ke všem funkcím Hyper-V

  29. IIS_IUSRS: používané internetovými informačními službami (IIS)

  30. Incoming Forest Trust Builders: členové této skupiny mohou vytvářet příchozí, jednosměrné vztahy důvěryhodnosti do doménové struktury

  31. Key Admins: členové této skupiny mohou provádět administrativní akce na klíčových objektech v doméně

  32. Network Configuration Operators: členové této skupiny mají administrátorská oprávnění ke správě konfigurace síťových funkcí

  33. Performance Log Users: členové této skupiny mohou spravovat čítače výkonu, protokoly a výstrahy místně na serveru a ze vzdálených klientů, aniž by byli členy skupiny Administrators

  34. Performance Monitor Users: členové této skupiny mohou sledovat čítače výkonu na řadičích domény v doméně, místně i ze vzdálených klientů, aniž by byli členy skupiny Administrators nebo Performance Log Users

  35. Pre–Windows 2000 Compatible Access: členové této skupiny mají přístup pro čtení pro všechny uživatele a skupiny v doméně

  36. Print Operators: členové této skupiny mohou spravovat, vytvářet, sdílet a odstraňovat tiskárny, které jsou připojeny k řadičům domény v doméně

  37. Protected Users: členové této skupiny mají zvláštní ochranu proti kompromitaci přihlašovacích údajů během procesů ověřování

  38. RAS and IAS Servers: počítače, které jsou členy skupiny serverů RAS a IAS, mohou při správné konfiguraci používat služby vzdáleného přístupu

  39. RDS Endpoint Servers: servery, které jsou členy této skupiny, mohou spouštět virtuální počítače a hostitelské relace, kde běží uživatelské programy RemoteApp a osobní virtuální plochy

  40. RDS Management Servers: servery, které jsou členy této skupiny, mohou provádět rutinní administrativní akce na serverech se systémem RDS

  41. RDS Remote Access Servers: servery v této skupině poskytují uživatelům přístup k programům RemoteApp a osobním virtuálním plochám

  42. Read-only Domain Controllers: tato skupina se skládá z RODC v doméně

  43. Remote Desktop Users: členové této skupiny se mohou vzdáleně připojit na server

  44. Remote Management Users: členové skupiny mají přístup k nástroji Windows Management Instrumentation

  45. Replicator: počítače, které jsou členy této skupiny, podporují replikaci souborů v doméně

  46. Schema Admins: členové této skupiny mohou upravovat schéma služby Active Directory

  47. Server Operators: členové této skupiny mohou spravovat řadiče domény

  48. Storage Replica Administrators: členové této skupiny mají úplný a neomezený přístup ke všem funkcím Storage Replica

  49. System Managed Accounts: členi v této skupině jsou spravováni systémem

  50. Terminal Server License Servers: členové této skupiny mohou aktualizovat uživatelské účty ve službě Active Directory

  51. Users: členům této skupiny je zabráněno v provádění náhodných nebo záměrných celosystémových změn

  52. Windows Authorization Access: členové této skupiny mají přístup k tokenu GroupsGlobalAndUniversal na objektech uživatele

  53. WinRMRemoteWMIUsers_: zobrazuje vlastnosti zabezpečení vzdálené sdílené složky