Все домены одного владельца: Все домены одного владельца

В: У кого есть право регистрировать на себя имена доменов?

• O: Имя домена может зарегистрировать любой.
• O: Домены EU могут регистрировать предприятия или организации:
  • чей главный офис (юридический адрес), центр управления или основное место деятельности находится в Европейском Сообществе.
  • организации, учрежденные в Европейском Сообществе без нарушения государственных законов
  • резиденты из числа физических лиц, т.е. частные лица.

В: На какой срок регистрируется имя домена, и сколько стоит продление?

• О: Имя домена регистрируется на период от одного до десяти лет. Плата за продление имени домена указана в нашем прайс-листе, который Вы найдете ЗДЕСь

В: Какую форму может иметь имя домена?

• O: Каждое имя домена должно быть уникальным. Имя домена должно отвечать следующим условиям:
  • имя домена должно состоять как минимум из 2-х знаков
  • минимальная длина домена . INFO должна составлять как минимум 3 знака
  • имя домена может содержать латинские буквы от «а» до «z», цифры от «0» до «9» и дефис «-»
  • максимальная длина имени домена составляет 63 знака
  • имя домена не должно начинаться с дефиса
  • имя домена .EE не должно иметь дефис на месте третьего и четвертого знака

В: Что такое TRADE и TRANSFER?

• O: TRADE — это операция, при которой меняется владелец имени домена. TRANSFER — это операция, при которой меняется администратор или регистратор имени домена.

В: Как можно сменить владельца домена .EU?

• О: Что бы сменить владельца домена EU, необходимо осуществить процедуру TRADE. Она стоит столько же, сколько регистрация нового домена. Цены приведены на нашей странице с прайс-листом.

  Процедуру смены владельца должен инициировать новый владелец. ЗДЕСь он сможет заполнить бланк заказа домена и оплатить счет предвaрительной оплаты. После этого как действующему, так и новому владельцу на электронную почту EUR отправит запрос, который обе стороны должны обязательно акцептировать в течение 7 дней.

  NB! Процедуру TRADE с доменом, находящимся вне нашей системы, можно осуществить только вместе с процедурой TRANSFER, в результате которой домен перейдет в наше ведение!

В: Как перевести домен .EU в наше ведение? (TRANSFER)

• О: Чтобы перевести домен .EU в наше ведение, необходимо осуществить процедуру TRANSFER. Она стоит столько же, сколько регистрация нового домена. Цены приведены на нашей странице с прайс-листом.

  TRANSFER можно запустить ЗДЕСь. Необходимо заполнить соответствующий бланк и оплатить счет предварительной оплаты. После этого EUR отправит владельцу домена на электронную почту запрос, который нужно непременно акцептировать в течение 7-ми дней.

В: Можно ли исправить неправильно записанное имя домена?

• О: Нет. Для того, чтобы исправить опечатку, придется зарегистрировать новый домен.

В: Опубликовываются ли данные администратора имени домена, у где их можно увидеть?

• О: Да. При регистрации имени домена данные его администратора опубликовываются в базе данных WHOIS. Информацию, связанную с доменом EU, можно получить по адресу: http://www.whois.eu.

В: Что такое WHOIS?

• О: WHOIS — это база данных, в которой содержтся все имена, которые зарегистрированы в настоящий момент. Подавая запрос на имя, Вы можете посмотреть, зарегистрировал ли его уже кто-нибудь или нет, т.е. является ли оно доступным для регистрации. Если имя уже зарегистрировано, Вы можете посмотреть, кто его зарегистрировал.

В: Что означают различные статусы доменных имен?

• О: Зарегистрировано — Доменное имя было зарегистрировано кем-то другим и в настоящее время занято.

  Приостановлено — Доменное имя заблокировано Европейским Pегистром (EURid), потому что оно находится в процедуре альтернативного разрешения споров или потому что было установлено несоответствие текущего владельца имени требованиям доменной зоны .eu

  Заблокировано — Европейская Комиссия или одна из стран-членов ЕС наложила запрет на данное доменное имя и его никогда нельзя будет зарегистрировать.

  Зарезервировано — Данное имя было зарезервировано Европейской Комиссией или одной из стран-членов ЕС для собственного использования и не может быть зарегистрировано лицами из числа широкой общественности.

  Доступно — Данное доменное имя никем пока не зарегистрировано. Каждый, кто проживает или имеет свое представительство на территории Европейского Союза, может его зарегистрировать.

  На карантине — Доменное имя было удалено и находится на сорокадневном карантине. По истечении этого срока оно снова станет доступным широкой общественности для регистрации.

В (по поводу EU): Мои личные данные видны в базе WHOIS, и я хотел(а) бы их оттуда удалить. Как я могу это сделать?

• О: Если владельцем имени домена является организация, то личные данные из базы данных WHOIS удалить нельзя, так как согласно европейским законам организации обязаны показывать свои контактные данные. Если же имя домена принадлежит частному лицу, то в базе данных WHOIS отображается только адрес электронной почты зарегистрировавшегося. Для того чтобы изнемить данные в базе данных WHOIS, следует осуществить процедуру TRADE.

В: (по поводу EU): Как я могу увидеть все данные владельца домена, если в базе данных WHOIS отображается только адрес его электронной почты?

• О: Чтобы выяснить контактные данные, свяжитесь с EURID

Задавайте свои вопросы тут или звоните (+372) 6886886

Планирование размещения роли хозяина операций

• Статья
• 09/29/2022
• Чтение занимает 6 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы домен Active Directory Services (AD DS) поддерживают репликацию данных каталога с несколькими хозяевами. Это означает, что любой контроллер домена может принимать изменения каталога и реплицировать изменения на все остальные контроллеры домена. Однако некоторые изменения, например изменения схемы, нецелесообразно выполнять в многомастеровой форме. По этой причине некоторые контроллеры домена, известные как хозяева операций, сохраняют роли, отвечающие за принятие запросов на определенные конкретные изменения.

Примечание

Владельцы ролей хозяина операций должны иметь возможность записывать некоторые сведения в базу данных Active Directory. Из-за того, что база данных Active Directory доступна только для чтения на контроллере домена только для чтения (RODC), контроллеры RODC не могут функционировать как владельцы роли хозяина операций.

В каждом домене существует три роли хозяина операций (которые также называются гибкими одиночными главными операциями или FSMO):

• Хозяин операций эмулятора основного контроллера домена обрабатывает все обновления паролей.

• Хозяин операций относительных ИДЕНТИФИКАТОРов (RID) поддерживает глобальный пул RID для домена и выделяет локальные пулы RID всем контроллерам домена, чтобы гарантировать, что все субъекты безопасности, созданные в домене, имеют уникальный идентификатор.

• Хозяин операций инфраструктуры для данного домена поддерживает список субъектов безопасности из других доменов, которые являются членами групп в пределах своего домена.

Помимо трех ролей хозяина операций на уровне домена, в каждом лесу существуют две роли хозяина операций:

• Хозяин операций схемы управляет изменениями схемы.
• Хозяин операций именования доменов добавляет и удаляет домены и другие разделы каталога (например, разделы приложений службы доменных имен (DNS)) в лес и из него.

Разместите контроллеры домена, на которых размещаются эти роли хозяина операций, в областях с высокой надежностью сети и убедитесь, что эмулятор основного контроллера домена и хозяин RID постоянно доступны.

Владельцы ролей хозяина операций назначаются автоматически при создании первого контроллера домена в заданном домене. Две роли на уровне леса (хозяин схемы и хозяин именования доменов) назначаются первому контроллеру домена, созданному в лесу. Кроме того, три роли на уровне домена (хозяин RID, хозяин инфраструктуры и эмулятор PDC) назначаются первому контроллеру домена, созданному в домене.

Примечание

Автоматические назначения ролей хозяина операций выполняются только при создании нового домена и понижении роли текущего владельца. Все остальные изменения владельцев ролей должны инициироваться администратором.

Эти автоматические назначения ролей могут привести к очень высокой загрузке ЦП на первом контроллере домена, созданном в лесу или домене. Чтобы избежать этого, назначьте роли хозяина операций для различных контроллеров домена в лесу или домене. Разместите контроллеры домена, на которых размещаются роли хозяина операций, в областях, где сеть является надежной и доступ к хозяину операций могут получить все другие контроллеры домена в лесу.

Также необходимо назначить резервные (альтернативные) Хозяевы операций для всех ролей хозяина операций. Резервные хозяева операций — это контроллеры домена, до которых можно передавать роли хозяина операций в случае сбоя исходных владельцев ролей. Убедитесь, что резервные хозяева операций являются прямыми партнерами репликации фактических хозяев операций.

Планирование размещения эмулятора основного контроллера домена

Эмулятор основного контроллера домена обрабатывает изменения паролей клиента. Только один контроллер домена выступает в качестве эмулятора PDC в каждом домене леса.

даже если все контроллеры домена обновлены до Windows 2000, Windows Server 2003 и Windows Server 2008, а домен работает на встроенном режиме Windows 2000, эмулятор PDC получает предустановленную репликацию изменений паролей, выполняемых другими контроллерами домена в домене. Если пароль был недавно изменен, это изменение занимает время репликации на каждый контроллер домена в домене. Если проверка подлинности входа на другой контроллер домена завершается сбоем из-за неправильного пароля, этот контроллер домена перенаправляет запрос на проверку подлинности эмулятору PDC, прежде чем принимать решение о принятии или отклонении попытки входа.

Поместите эмулятор основного контроллера домена в расположение, которое содержит большое количество пользователей из этого домена для операций перенаправления паролей, если это необходимо. Кроме того, убедитесь, что расположение хорошо подключено к другим расположениям для снижения задержки репликации.

сведения о том, где вы планируете разместить эмуляторы основного контроллера домена и число пользователей для каждого из этих расположений, см. в статье вспомогательные материалы для Windows Server 2003 Deployment Kit, загрузите Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и откройте размещение контроллера домена (DSSTOPO_4.doc).

Необходимо обратиться к сведениям о расположениях, в которых необходимо разместить эмуляторы основного контроллера домена при развертывании региональных доменов. дополнительные сведения о развертывании региональных доменов см. в статье развертывание региональных доменов Windows Server 2008.

Требования к размещению хозяина инфраструктуры

Хозяин инфраструктуры обновляет имена субъектов безопасности из других доменов, которые добавляются в группы в своем собственном домене. Например, если пользователь из одного домена является членом группы во втором домене и имя пользователя изменяется в первом домене, второй домен не получает уведомления о том, что имя пользователя должно быть Обновлено в списке членства в группе. Поскольку контроллеры домена в одном домене не реплицируют субъекты безопасности на контроллеры домена в другом домене, второй домен никогда не будет знать об изменении в отсутствии хозяина инфраструктуры.

Хозяин инфраструктуры постоянно отслеживает членство в группах и ищет субъекты безопасности из других доменов. Если он найден, он проверяет соответствие домена субъекта безопасности, чтобы убедиться в том, что информация обновлена. Если сведения устарели, хозяин инфраструктуры выполняет обновление, а затем реплицирует изменения на другие контроллеры домена в своем домене.

К этому правилу применяются два исключения. Во-первых, если все контроллеры домена являются серверами глобального каталога, контроллер домена, на котором размещается роль хозяина инфраструктуры, неважен, так как глобальные каталоги реплицируют обновленную информацию независимо от домена, к которому они относятся. Во-вторых, если лес имеет только один домен, контроллер домена, на котором размещается роль хозяина инфраструктуры, неважен, так как субъекты безопасности из других доменов не существуют.

Не размещайте хозяин инфраструктуры на контроллере домена, который также является сервером глобального каталога. Если хозяин инфраструктуры и глобальный каталог находятся на одном контроллере домена, хозяин инфраструктуры не будет работать. Хозяин инфраструктуры никогда не будет искать актуальные данные. Таким образом, он никогда не будет выполнять репликацию каких бы то ни было изменений на другие контроллеры домена в домене.

Размещение хозяина операций для сетей с ограниченным подключением

Имейте в виду, что если в вашей среде имеется центральное расположение или сайт концентратора, на котором можно разместить владельцы ролей хозяина операций, это может повлиять на определенные операции контроллера домена, зависящие от доступности этих владельцев ролей хозяина операций.

Например, предположим, что Организация создает сайты A, B, C и D. связи между A и B, между B и C и между C и D. сетевое подключение полностью отражает сетевое подключение ссылок на сайты. В этом примере все роли хозяина операций размещаются на сайте A, а параметр мост для всех связей сайтов не выбран.

Хотя такая конфигурация приводит к успешной репликации между всеми сайтами, функции роли хозяина операций имеют следующие ограничения.

• Контроллеры домена на сайтах C и D не могут получить доступ к эмулятору основного контроллера домена на сайте а, чтобы обновить пароль, или проверить его на наличие недавно обновленного пароля.
• Контроллеры домена на сайтах C и D не могут получить доступ к хозяину RID на сайте а, чтобы получить начальный пул RID после установки Active Directory и обновить пулы RID по мере их исчерпания.
• Контроллеры домена на сайтах C и D не могут добавлять или удалять разделы каталога, DNS или пользовательских приложений.
• Контроллеры домена на сайтах C и D не могут вносить изменения в схему.

для листа, помогающего в планировании размещения ролей хозяина операций, см. раздел вспомогательные материалы для Windows Server 2003 Deployment Kit, скачайте Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и откройте размещение контроллера домена (DSSTOPO_4.doc).

Эти сведения понадобятся при создании корневого домена леса и региональных доменов. дополнительные сведения о развертывании корневого домена леса см. в разделе развертывание развернутого домена леса Windows Server 2008. дополнительные сведения о развертывании региональных доменов см. в статье развертывание региональных доменов Windows Server 2008.

Дальнейшие действия

Дополнительные сведения о размещении ролей FSMO см. в разделе Поддержка FSMO размещение и оптимизация на Active Directory контроллерах домена .

Украден домен Perl, одного из самых известных языков программирования

Безопасность Стратегия безопасности Интернет Веб-сервисы

29 Января 2021 09:5029 Янв 2021 09:50 |

Поделиться

Киберпреступники украли домен Perl. com, по которому находилось сообщество разработчиков на языке программирования Perl. Он мог был украден в паре с рядом других доменов, обслуживавшихся у регистратора Network Solutions – все они были выставлены на продажу всего за 10% от своей стоимости. Вернуть контроль над Perl.com истинным владельцам пока не удалось.

Perl.com сменил владельца

Неизвестные киберпреступники захватили контроль над доменом Perl.com, по которому десятилетиями находилось сообщество Perl-разработчиков. О случившемся в своем Twitter рассказал Брайан Фой (Brian Foy), основатель организации Perl Mongers и автор многочисленных книг по языку программирования Perl.

По словам Фоя, он пока не знает, кто именно угнал домен Perl.com, и как именно у него получилось это сделать. Он лишь подтвердил, что утратил контроль над доменом. Некоторые пользователи предположили, что случившееся могло быть связано с тем, что реальные владельцы просто не успели вовремя оплатить домен, и кто-то очень быстрый решил перекупить его. Однако эта версия к реальности не относится – Perl.com, зарегистрированный еще в 1994 г., продлен до 2031 г.

Домен на продажу

Сразу после сообщения Брайана Фоя в Twitter выяснилось, что домен Perl.com был выставлен на продажу. Сообщение об этом пользователи могли видеть при попытке зайти на сайт сообщества. На момент публикации материала не было известно, действительно ли новый владелец предпринимает попытки продать домен любому, или же он хочет получить своего рода «выкуп» у реальных владельцев.

Хакеры ищут покупателя на домен Perl.com

На 9:40 утра 29 января 2021 г. сообщение о продаже домена с сайта пропало. Теперь по адресу Perl.com просто пустая страница, вне зависимости от браузера или страны проживания пользователя.

Временное решение

Пока владельцы Perl.com пытаются вернуть себе контроль над ним, они решили запустить полную копию виртуального сообщества.

Сейчас сайт по адресу Perl.com выглядит так

Для этого они создали подсайт на домене Perl. org, на который перенесли все содержимое оригинального портала.

Резервная копия портала на Perl.org

Новый сайт доступен по адресу perldotcom.perl.org. На момент публикации материала он полностью функционировал.

Массовый взлом

Perl.com, как пишут пользователи портала Hacker News (YCombinator), был украден в комплекте с рядом других доменов. Участник сообщества под псевдонимом superasn указал, что хакеры, те же или уже другие, захватили контроль над Piracy.com, Chip.com и Neurologist.com. Попытка перейти по любому из этих адресов ни к чему не приводит – вместо сайтов отображается пустая страница, как и в случае Perl.com.

Домен Perl.com продлен на 10 лет вперед

Каждый из угнанных доменов на 29 января 2021 г. находился на обслуживании у немецкого регистратора Key-Systems GmbH. Как пишет OpenNet, атаки на все эти сайты, по предварительной информации, были осуществлены в период с сентября по декабрь 2020 г. – хакеры могли взломать учетные записи их владельцев, пока домены находились у регистратора Network Solutions.

Екатерина Столбова, фонд «Сколково»: Грант покроет до 80% расходов компаний на внедрение ИТ-решений

Поддержка ИТ-отрасли

После перехвата контроля киберпреступники перевели все домены китайскому регистратору Bizen, а затем – немецкому Key-Systems GmbH. После этого хакеры действительно решили продать каждый из доменов – для этого они выставили их на биржах Sedo и Afternic, запросив за них всего 10% от их реальной рыночной стоимости.

Немного о Perl

Язык программирования Perl существует с декабря 1987 г. За ним стоит программист Ларри Уолл (Larri Wall, лингвист по образованию), а его название – это сокращение от Practical Extraction and Report Language (практический язык для извлечения данных и составления отчетов, — англ.).

График популярности Perl за последние 19 лет

Perl – это высокоуровневый интерпретируемый динамический язык программирования общего назначения. За 33 года своего существования он дорос до версии 5. 32.1, вышедшей 23 января 2021 г. Пик популярности Perl в XXI веке пришелся на май 2005 г., когда в рейтинге языков программирования TIOBE он достиг третьего места. С тех пор интерес разработчиков к нему постепенно угасает – в ноябре 2019 г. – Perl опустился на 21 место, а в январе 2021 г. он занимал 17 место против 19 годом ранее.

• Бесплатный фотошоп: лучшие программы для обработки фото онлайн

Эльяс Касми




Ваш выход, граф

Дмитрий Волков,

CTO Group-IB и глава направления киберразведки


Расследуя дела, связанные с фишингом, бот-сетями, псевдонимами, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей. В разных кейсах существуют свои массивы данных, свои алгоритмы выявления связей и интерфейсы, заточенные под конкретные задачи. Все эти инструменты являлись внутренней разработкой Group-IB и были доступны только нашим сотрудникам.

Графовый анализ сетевой инфраструктуры (сетевой граф) стал первым внутренним инструментом, который мы встроили во все публичные продукты компании. Прежде чем создавать свой сетевой граф, мы проанализировали многие подобные разработки на рынке и не нашли ни одного продукта, который бы удовлетворял нашим собственным потребностям. В этой статье мы расскажем о том, как мы создавали сетевой граф, как его используем и с какими трудностями столкнулись.


Что умеет сетевой граф
Group-IB?


Расследования


С момента основания Group-IB в 2003 году и по настоящее время идентификация, деанон и привлечение киберпреступников к ответственности являются главным приоритетом в нашей работе. Ни одно расследование кибератаки не обходилось без анализа сетевой инфраструктуры атакующих. В самом начале нашего пути это была довольно кропотливая «ручная работа» по поиску взаимосвязей, которые могли помочь в идентификации преступников: информация о доменных именах, IP-адресах, цифровых отпечатках серверов и др.

Большинство атакующих стараются действовать максимально анонимно в сети. Однако, как и все люди, они допускают ошибки. Основная задача такого анализа — найти «белый» или «серый» исторические проекты злоумышленников, которые имеют пересечения с вредоносной инфраструктурой, используемой в актуальном инциденте, который мы расследуем. Если удается обнаружить «белые проекты», то найти атакующего, как правило, становится тривиальной задачей. В случае с «серыми» на поиск уходит больше времени и усилий, так как их владельцы стараются анонимизировать или скрыть регистрационные данные, однако шансы остаются достаточно высокими. Как правило, в начале своей преступной деятельности атакующие уделяют меньше внимания собственной безопасности и делают больше ошибок, поэтому чем глубже мы сможем погрузиться в историю, тем выше шансы на успешное расследование. Именно поэтому сетевой граф с хорошей историей – крайне важный элемент такого расследования. Проще говоря, чем более глубокими историческими данными обладает компания, тем качественнее ее граф. Допустим, история в 5 лет может помочь раскрыть, условно, 1-2 из 10 преступлений, а история за 15 лет дает шансы на раскрытие всех десяти.


Выявление фишинга и мошенничества

Каждый раз, когда мы получаем подозрительную ссылку на фишинг, мошеннический или пиратский ресурсы, мы автоматически строим граф связанных сетевых ресурсов и проверяем все найденные хосты на наличие аналогичного контента. Это позволяет находить как старые фишинговые сайты, которые были активны, но неизвестны, так и абсолютно новые, которые заготовлены для будущих атак, но еще не используются. Элементарный пример, который встречается достаточно часто: мы нашли фишинговый сайт на сервере, где всего 5 сайтов. Проверяя каждый из них, мы находим фишинговый контент и на остальных сайтах, а значит можем заблокировать 5 вместо 1.

Поиск бэкендов


Этот процесс необходим, чтобы установить, где реально находится вредоносный сервер.
99% кардшопов, хакерских форумов, множество фишинговых ресурсов и других вредоносных серверов скрываются как за собственными прокси-серверами, так и за прокси легитимных сервисов, например, Cloudflare. Знание о реальном бэкенде очень важно для расследований: становится известен хостинг-провайдер, у которого можно изъять сервер, появляется возможность построить связи с другими вредоносными проектами.

Например, у вас есть фишинговый сайт для сбора данных банковских карт, который резолвится в IP-адрес 11.11.11.11, и адрес кардшопа, который резолвится в IP-адрес 22.22.22.22. В ходе анализа может выясниться, что и у фишингового сайта, и у кардшопа общий IP-адрес бэкенда, например, 33.33.33.33. Эти знания позволяют построить связь между фишинговыми атаками и кардшопом, на котором, возможно, продают данные банковских карт.

Корреляция событий


Когда у вас есть две разные сработки (допустим, на IDS) с разным вредоносным ПО и разными серверами для управления атакой, вы будете рассматривать их как два независимых события. Но если есть хорошая связь между вредоносными инфраструктурами, то становится очевидно, что это не разные атаки, а этапы одной, более сложной многоступенчатой атаки. А если одно из событий уже атрибутировано до какой-либо группы атакующих, то и второе тоже можно атрибутировать до этой же группы. Конечно, процесс атрибуции значительно более сложный, поэтому относитесь к написанному как к простому примеру.


Обогащение индикаторов


Не будем уделять этому много внимания, поскольку это самый распространенный сценарий использования графов в кибербезопасности: даешь на вход один индикатор, а на выходе получаешь массив связанных индикаторов.


Выявление паттернов


Выявление паттернов необходимо для эффективного хантинга. Графы позволяют не только находить связанные элементы, но и выявлять общие свойства, которые присущи определенной группе хакеров. Знание таких уникальных признаков позволяет распознавать инфраструктуру атакующих еще на этапе подготовки и без свидетельств, подтверждающих атаку, таких как фишинговые письма или вредоносные программы.


Почему мы создали свой сетевой граф?

Повторюсь, что мы рассматривали решения от разных поставщиков, прежде чем пришли к выводу, что нам нужно разработать собственный инструмент, умеющий то, чего нет ни в одном существующем продукте. На его создание ушло несколько лет, за которые мы не раз полностью его меняли. Но, несмотря на длительный срок разработки, мы до сих пор не нашли ни одного аналога, который бы удовлетворял нашим требованиям. С помощью собственного продукта мы в итоге смогли решить практически все обнаруженные нами проблемы в существующих сетевых графах. Ниже рассмотрим эти проблемы детально:

Как работает наш граф


Чтобы начать использовать сетевой граф, нужно ввести в поисковую строку домен, IP-адрес, email или отпечаток SSL-сертификата. Есть три условия, которыми может управлять аналитик: время, глубина шагов и очистка.

Время

Время – дата или интервал, когда искомый элемент использовался для вредоносных целей. Если не указать этот параметр, то система сама определит последний интервал владения этим ресурсом. Например, 11 июля компания Eset опубликовала отчет о том, как Buhtrap использует для кибершпионажа 0-day эксплоит. В конце отчета есть 6 индикаторов. Один из них secure-telemetry[.]net был заново зарегистрирован 16 июля. Поэтому если вы будете строить граф после 16 июля, то будете получать нерелевантные результаты. Но если указать, что этот домен использовался до этой даты, то на граф попадают 126 новых доменов, 69 IP-адресов, которые не указаны в отчете Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• и др.

Кроме сетевых индикаторов, мы сразу находим связи с вредоносными файлами, которые имели связи с этой инфраструктурой и тэгами, которые подсказывают нам, что использовались Meterpreter, AZORult.

Самое замечательное, что вы получаете это результат в течение одной секунды и вам уже не требуется тратить дни на анализ данных. Безусловно, такой подход иногда в разы сокращает время на расследования, что часто бывает критичным.


Количество шагов или глубина рекурсии, с которой будет строиться граф


По умолчанию глубина равна 3. Это означает, что от искомого элемента будут найдены все напрямую связанные элементы, потом это каждого нового элемента будут построены новые связи до других элементов, и уже от новых элементов с прошлого шага будут новые элементы.

Возьмем пример, не связанный с APT и 0-day эксплойтами. Недавно на Хабре описывали интересный кейс с мошенничеством, связанный с криптовалютами. В отчете упоминается домен — themcx[.]co, используемый мошенниками для хостинга сайта якобы обменника Miner Coin Exchange и phone-lookup[.]xyz, для привлечения трафика.

Из описания понятно, что схема требует достаточно большой инфраструктуры для привлечения трафика на мошеннические ресурсы. Мы решили посмотреть на эту инфраструктуру, построив граф в 4 шага. На выходе получили граф с 230 доменами и 39 IP-адресами. Далее разбиваем домены на 2 категории: те, что похожи на сервисы работы с криптовалютами и те, что предназначены для нагона трафика через сервисы проверки телефонов:


Очистка


По умолчанию опция «Очистка графа» включена и все нерелевантные элементы будут удаляться с графа. К слову, она использовалась и во всех предыдущих примерах. Предвижу естественный вопрос: а как же сделать так, чтоб не удалилось что-то важное? Отвечу: для аналитиков, которые любят строить графы руками, автоматизированную очистку можно отключить и выбрать количество шагов = 1. Далее аналитик сможет достраивать граф от нужных ему элементов и удалять нерелевантные поставленной задаче элементы с графа.

Уже на графе аналитику становятся доступны история изменений whois, DNS, а также открытых портов и запущенных на них сервисов.

Финансовый фишинг

Мы исследовали действия одной APT- группы, которая на протяжении нескольких лет проводила фишинговые атаки против клиентов различных банков в разных регионах. Характерной чертой этой группы была регистрация доменов, очень похожих на названия реальных банков, а большая часть фишинговых сайтов имела одинаковый дизайн, отличия были только в названии банков и их логотипах.

В данном случае нам очень помог автоматизированный графовый анализ. Взяв один из их доменов — lloydsbnk-uk[.]com, мы через несколько секунд построили граф с глубиной в 3 шага, который выявил более 250 вредоносных доменов, которые были использованы этой группой с 2015 года и продолжают использоваться. Некоторые из этих доменов уже выкуплены банками, но по историческим записям видно, что ранее они были зарегистрированы на атакующих.

Для наглядности на рисунке показан граф с глубиной в 2 шага.

Примечательно, что уже в 2019 году атакующие несколько изменили тактику и начали регистрировать не только домены банков для хостинга веб-фишинга, но и домены различных консалтинговых компаний для отправки фишинговых писем. Например, домены swift-department[.]com, saudconsultancy[.]com, vbgrigoryanpartners[.]com.


Атака Cobalt gang


В декабре 2018 года хакерская группа Cobalt, специализирующаяся на целенаправленных атаках на банки, провела рассылку от имени Национального банка Казахстана.


В письмах были ссылки на hXXps://nationalbank[. ]bz/Doc/Prikaz.doc. Скачиваемый документ содержал макрос, запускающий powershell, который попытается загрузить и исполнить файл с hXXp://wateroilclub[.]com/file/dwm.exe в %Temp%\einmrmdmy.exe. Файл %Temp%\einmrmdmy.exe aka dwm.exe — CobInt stager, настроенный на взаимодействие с сервером hXXp://admvmsopp[.]com/rilruietguadvtoefmuy.

Представьте, что у вас нет возможности получить эти фишинговые письма и провести полный анализ вредоносных файлов. Граф по вредоносному домену nationalbank[.]bz сразу показывает связи с другими вредоносными доменами, атрибутирует это до группы и показывает какие файлы использовались в атаке.


Возьмем из этого графа IP-адрес 46.173.219[.]152 и построим по нему граф в один проход и выключим очистку. С ним связано 40 доменов, например, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Судя по именам доменов, похоже что они используются в мошеннических схемах, но алгоритм очистки понял, что к этой атаке они не имеют отношения и не вынес их на граф, что сильно упрощает процесс анализа и атрибуции.


Если заново построить граф по nationalbank[.]bz, но отключив алгоритм очистки графа, то на него попадает более 500 элементов и большая часть из которых не имеет отношения ни к группе Cobalt, ни к их атакам. Пример, как выглядит такой граф приведен ниже:


Заключение


После нескольких лет тонкой настройки, тестирований в реальных расследованиях, исследований угроз и охоты за атакующими нам удалось не только создать уникальный инструмент, но и изменить отношение к нему экспертов внутри компании. Вначале технические эксперты хотят полного контроля над процессом построения графа. Убедить их в том, что автоматическое построение графа сможет делать это лучше, чем человек с многолетним опытом, было крайне сложно. Все решило время и многократные «ручные» проверки результатов того, что выдавал граф. Теперь наши эксперты не просто доверяют системе, но и используют полученные ею результаты в ежедневной работе. Эта технология работает внутри каждой из наших систем и позволяет лучше выявлять угрозы любого типа. Интерфейс для ручного анализа графа встроен во все продукты Group-IB и значительно расширяет возможности для хантинга за киберпреступностью. Это подтверждают отзывы аналитиков со стороны наших клиентов. А мы, в свою очередь, продолжаем обогащать граф данными и работать над новыми алгоритмами, использующими искусственный интеллект, для максимально точного сетевого графа.


Смена пользователя (владельца) www домена в ISPmanager • Вольнодумец

Было дело меня, подвел мой хостер, у которого я держал свои сателлиты. Просто однажды в Сапе я увидел на них ошибки, а зайдя непосредственно на сайты, обнаружил вирус. Первым делом я подумал, что сайты похакали, поскольку они стояли на доисторической версии WordPress. На проверку своей вполне логичной теории я убил несколько часов, после чего выяснилось, что проблема стоит глобальней, и вирус находится не на моих сайтах, а на всем серваке.

Два дня саппорт хостера молчал, игнорируя письмо на email и сообщение в Live-чат, которые по его заявлению работают 24/7. Только на третий день они поправили ситуацию, отписавшись на мое дико гневное сообщение в биллинговой системе простым «Сайт такой-то работает нормально». Негодованию моему не было предела…

Не будем тыкать пальцем в хостера…

Хотя нет, будем — steephost.com, DDOS им в жопу…

Обнаружение проблемы со сменой владельца www домена в ISPmanager

Я на второй же день определения проблемы взялся переносить свои сателлиты к себе на VDS. (Благо FTP и cPanel работали). В ISPmanager впопыхах создал домены, распаковал все сайты и настроил chmod. Немного успокоившись, я понял, что в итоге на моем рабочем сервере получается дико дохера сайтов: как нормальных рабочих, так и левых говенненьких.

Решил я тогда сделать другого пользователя на другом IP-адресе, чтобы под ним находились и управлялись второсортные сайты. И тут-то я и столкнулся с проблемой: в ISPmanager нельзя сменить владельца домена, а соответственно и файлов сайта. А заново создавать домены, загружать сайты и настраивать права доступа ой как не хотелось.

Решение нашел методом тыка с помощью небольшой подсказки с форума своего VDS-провайдера. Итак, долго запрягав, едем…

Небольшой дисклаймер:

1. Без временного дауна сайта сменить владельца скорее всего не удастся, потому что придется физически перемещать файлы, менять владельца баз данных, перезапускать Апач и т.п. Поэтому советую делать такие вещи ночью, когда посещаемость минимальная. (У меня сайты работали у старого хостера, поэтому на своем VDS я экспериментировал с ними как хотел без ущерба для работы).

2. Я делал все через SSH, по FTP такое не прокатит.

3. Все описанное актуально для FreeBSD на моем VDS от firstvds.ru. У вас конфигурация сервера может быть другая. То есть все описанные пути к файлам и папкам могут отличаться.

4. Ну, и главное: если что-то надумаете делать, в меня камни не кидать — вы все делаете на свой страх и риск. 🙂

Погнали.

1. В ISPmanager под root’ом создаем нового пользователя (пункт меню «Пользователи») с доступом по SSH («Доступ к shell»). Можно привязать к другому IP-адресу, если он имеется, а можно не привязывать.

2. Для баз данных создаем нового пользователя. Во вкладке «Базы данных» выбираем нужную базу и нажимаем кнопку «Пользователи». На новой странице жмем «Создать» и вводим нужные значения. После создания у базы данных будет два пользователя.

3. Под рутом заходим по SFTP в директорию, где хранятся папки с файлами сайтов. Выбираем папку с нужным сайтом и перемещаем ее в директорию «www» нашего нового пользователя. В WinSCP это делается простым нажатием сочетания клавиш Shift+F6 (или через контекстное меню) и небольшим изменением полного пути до нужной директории. Выглядит это примерно так:

меняем

/home/ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ/data/www/*.*

на

/home/НОВЫЙ_ПОЛЬЗОВАТЕЛЬ/data/www/*.*

Внимание! С этого момента сайт уже будет «сломан». Так что поспешите.

Скорее всего перенос файлов можно сделать и через файловый менеджер ISPmanager с помощью кнопок «Вырезать» и «Вставить», но я этим способом никогда не пользовался, поэтому сказать ничего не могу.

4. Теперь нужно сменить владельца и группу у файлов и папок. Сделать это можно и по SSH, но у меня через WinSCP это идет довольно долго, поэтому я делаю через сам ISPmanager. С помощью файлового менеджера под рутом заходим в папку с сайтами уже в директории нового пользователя. Выглядит путь примерно так: /home/ПОЛЬЗОВАТЕЛЬ/data/www

Выделяем нужную папку (называется именем домена) и нажимаем «Атрибуты». Здесь в качестве владельца и группы выбираем нашего нового пользователя, а в поле «Рекурсивно» выбираем «только сменить владельца». Так у нас сменится владелец и группа у папки и у всех вложенных папок и файлов, а все права доступа останутся неизменными.

5. Сейчас можно сменить IP-адрес домена, если с владельцем еще меняется и айпишник сайта. Делается это просто в самой панели ISPmanager: вкладка «WWW домены», выбираем нужный домен, «Изменить» и выбираем нужный IP-адрес в соответствующем поле.

6. Теперь вносим изменения в конфигурацию сервера Apache в соответствии с произведенными перемещениями. В соответствующий файл, который у меня расположен по адресу /usr/local/etc/apache22/httpd.conf прописываются новые пути и владелец сайта. Делается это в двух секциях: Directory и VirtualHost. И там, и там нужно поменять все вхождения

/home/ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ/

на новый

/home/НОВЫЙ_ПОЛЬЗОВАТЕЛЬ/

В секции VirtualHost также нужно заменить значения в директиве SuexecUserGroup на новые: первое значение — юзер, второе — группа.

Здесь нужно быть очень внимательным и все несколько раз перепроверить: если хотя бы одно место пропустить, сайт может не работать и выдавать ошибки. На такие случаи читайте логи.

Что примечательно, даже после перезагрузки Апача в ISPmanager владельцем доменного имени остается старый пользователь (вкладка «Доменные имена»). Но все равно все работает нормально. Однако если кому-то, как мне, сей факт не дает покоя, через выбор нужного домена в указанной вкладке и кнопку «Изменить» можно поправить ситуацию.

7. Теперь можно оставить одного владельца базой данных. Во вкладке «Базы данных» снова выбираем нужную базу и через кнопку «Пользователи» удаляем старый логин.

Внимание! Теперь обязательно нужно поменять данные доступа к базе данных в конфигах сайта!

8. Перекидываем log-файлы со старого на нового пользователя. То есть их папки:

/home/ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ/data/logs

в папку

/home/НОВЫЙ_ПОЛЬЗОВАТЕЛЬ/data/logs

Названия log-файлов, понятное дело, соответствуют доменному имени и имеют вид:

ДОМЕН.ru.access.log
ДОМЕН.ru.error.log

Что странно, после перезапуска Apache несмотря на то, что в конфигурации ротации логов, которая лежит по адресу /usr/local/ispmgr/etc/rotate.conf, стоят старые пути до файлов логов, они корректно крутятся и после переноса. Как бы ни было, все должно быть по делу, поэтому…

9. Идем в панель ISPmanager, во вкладке «WWW домены», выбираем нужный домен, жмем кнопку «Логи». В окошке я поставил значения по умолчанию (как при создании нового домена):

• Лог запросов: Включено (с ротацией)
• Лог ошибок: Включено (с ротацией)
• Период ротации: Каждый день
• Хранить архивов: 10
• Анализировать с помощью: webalizer (Каждый день)

И так с каждым доменом, если переносится несколько сайтов. Или можно сделать глобальную настройку для всех доменов по кнопке «Все логи» и установке отметки «Применить для всех WWW доменов».

После этих действий в папке /home/ПОЛЬЗОВАТЕЛЬ/data/etc создадутся файлы вида ДОМЕН.ru.webalizer.conf. В этих файлах — конфигурация Webalizer, сервиса статистики, работающего на основе log-файлов событий веб-сервера. В одноименной папке у старого владельца эти файлы можно «убить».

Помимо конфиг-файлов в папке основного («старого») пользователя еще лежат файлы вида ДОМЕН.ru.stat.passwd. Это данные доступа (логин-пароль) к сервису статистики Webalizer. По умолчанию это должны быть данные вашего текущего пользователя, но их можно поменять, зашифровав соответствующим образом пароль.

Если эти файлы оставить на месте, то вы не сможете авторизоваться в сервисе статистики, потому что у нового пользователя не будет прав на чтение данных из этих файлов в директории другого юзера. Поэтому, если вы планируете пользоваться этой статой, нужно будет перенести файлы и обновить пути до них на каждом сайте.

Любым удобным способом переносим указанные файлы из папки

/home/СТАРЫЙ_ПОЛЬЗОВАТЕЛЬ/data/etc

в папку

/home/НОВЫЙ_ПОЛЬЗОВАТЕЛЬ/data/etc

Поправляем путь до них в файле, который запрашивает пароли: /home/ПОЛЬЗОВАТЕЛЬ/data/www/ДОМЕН.ru/webstat/.htaccess

У меня не один и не два сайта, к тому же этой статистикой я не пользуюсь, поэтому просто не стал геморроиться с кучей правок.

(10). Почта. Стоит заметить, что у меня не было почты на доменах, так что проблемы с этим не было. Если у вас есть рабочие постовые ящики, то придется и с этим разбираться.

11. Перезапускаем Apache. У меня это команда в терминале:

/usr/local/etc/rc. d/apache22 restart

Если все правки были внесены корректно, то теперь по идее сайты должны быть рабочими и открываться уже с нового пользователя. Если менялся IP-адрес сайта(ов) и NS доменов не менялись, то должно пройти время на обновление DNS. В любом случае все следует проверить и перепроверить, локально настроив открытие сайтов по новому IP-шнику.

PS: Дописав статью до конца и проделав все эти шаги, я стал сомневаться: а не проще ли было все-таки пересоздать домены и заново залить и настроить исходники? 🙂

Гуд лак!

UPDATE (10.10.2013): Хотел бы еще добавить замечания моего друга (который почему-то захотел остаться инкогнито) по этому вопросу. Комментарий не дословный, а с моей адаптацией.

(0). ISP записывает файлы конфигурации при создании/редактировании объекта (домена, пользователя и т.д.). Именно с этим связано то, что нужно менять настройки Apache задним числом: после создания домена он прописался в настройках и ISP ничего там не меняет. Решить эту проблему можно как описано в статье, но несколько по-другому.

(1). До создания нового пользователя и переноса файлов включительно все делается как описано выше.

2. Далее ищем в /usr/local/ispmgr и /etc все файлы, содержащие имя домена ДОМЕН.ru, и меняем в них путь к сайту и все другие аналогичные пути, а также ID пользователя.

3. После внесения изменений в настройки Apache перезапускаем Apache, после изменения настроек nginx – nginx, и т.д.

4. После всего понадобится изменить настройки ISP: в файле /usr/local/ispmgr/etc/ispmgr.conf меняем Domain <домен> <uid> (это то, что я делал через панельку, чтобы изменилось имя владельца домена). Для перезапуска тупо делаем killall ispmgr.

Сам не пробовал делать таким образом, но поверим на слово. Может кому такой подход будет интересней.

Обратный WHOIS в действии: найдите все домены или веб-сайты компании и многое другое поиск всех интернет-доменов, принадлежащих компании или связанных с ней к.

Мы будем использовать веб-службу обратного WHOIS. Ан альтернативой было бы использование обратный WHOIS API, Решение RESTful, которое также доступно с теми же возможностями. Мы выберем популярный бренд, компания Eastman Kodak, в качестве примера для нашего исследования, хотя он работает для любой другой вы могли бы быть интересуетесь. Если вы владелец домена, маркетолог, судебный следователь, эксперт по ИТ-безопасности или кто интересуется доменами Интернета или работает с ними, вы обратились по адресу. Мы представляем Швейцарский армейский нож, созданный для того, чтобы поместиться в вашем кармане.

Содержание

• 1. Наш инструмент: Набор для исследования предметной области
• 2. Наш пример: Eastman Kodak Companys
• 1.1 Базовый поиск
• 2.2 Расширенный поиск
• 3. Резюме

1. Наш инструмент: Domain Research Suite

WhoisXML API, Inc. собирает и нормализует данные о владельцах доменов и сетевых блоков IP для несколько лет. Хотя эта информация находится в открытом доступе в Интернете, она разбросана по сильно распределенные и не всегда когерентные источники данных. Следовательно, пытаясь получить эти данные в полезном от действительно вызов. Данные WHOIS, например, поступают в основном с серверов, все еще использующих протокол, восходящий к ранним дням Интернета, и операторы этих серверов налагают несколько ограничений на запросы.

API WhoisXML имеет соответствующую инфраструктуру и опыт для сбора огромного набора всех этих данных. данные и преобразовать их в нормализованную форму, облегчающую выполнение эффективных запросов. Это полное и последовательное база данных текущих и исторических данных о владельцах (домен WHOIS) является прочной основой расширенного домена. инструменты исследования и мониторинга, теперь интегрированные в домен Исследовательский люкс. Что мы демонстрируем здесь это лишь малая часть его функциональности. А именно дает возможность не только найти владельца определенного домена, но также и для сведения о его деталях, например, для поиска других доменов принадлежащие одному и тому же владельцу. Все это можно использовать либо интерактивно на веб-странице, либо через RESTful API. Мы оставляем выбор за вами.

Возможно, вы задаетесь вопросом, какое практическое применение имеет обратный поиск в WHOIS. Вот список некоторых что может сделать для вас служба обратного поиска WHOIS или API обратного WHOIS:

• Кибербезопасность: Аналитики и исследователи кибербезопасности используют отчеты обратного WHOIS чтобы получить больше информации о спаме, атаке вредоносного ПО или любом другом виде онлайн-вторжения или преступление.
• Правоохранительные органы: Правоохранительные органы тем временем используют те же данные для отслеживать и, возможно, блокировать доступ ко всем доменам, веб-сайтам и IP-адресам, связанным с вредоносными виды деятельности.
• Защита бренда: Компании также могут использовать обратную информацию WHOIS для защиты их интеллектуальная собственность и проверить потенциальные нарушения прав на товарные знаки, выполнив поиск домена сходство имен, дубликаты или подражатели.
• Обнаружение кибермошенничества: Платежные системы и банки, с другой стороны, используют одни и те же данные для обнаружения и сбора информации о мошенничестве с транзакциями.
• Маркетинговые исследования: Наконец, маркетинговые исследователи, аналитики и другие специалисты вместе с владельцами бизнеса используют обратную информацию WHOIS для выявления новых деловые и партнерские возможности и найти потенциальных покупателей.

Теперь выступим в роли аналитика и воспользуемся интерактивным подходом. Для этого мы посещаем веб-страницу домена Исследовательский люкс.

Во-первых, вам необходимо зарегистрировать бесплатную учетную запись (в случае, если у вас еще нет учетной записи для этого или любого другого другой сервис API здесь). Бесплатный аккаунт с 50 кредитами вполне достаточен, если вы хотите попробовать, или вам время от времени нужно анализировать некоторые страницы. Если вам нужно больше, вы можете купить дополнительный доступ по разумной цене. У нас гибкая ценовая структура, разработанная специально для различные потребности. Для получения дополнительной информации посетите нашу страницу с ценами.

После входа в систему вы увидите такую ​​страницу:

Все доступные инструменты поиска и мониторинга находятся под рукой, на панели слева:

• Инструменты поиска:
• Обратный поиск в WHOIS;
• Поиск истории WHOIS;
• Поиск в WHOIS;
• Проверка доступности домена;
• и средства мониторинга:
• Монитор домена;
• Монитор регистрации;
• Бренд-монитор.

По умолчанию мы видим обратный поиск WHOIS, тот самый инструмент, который мы собираемся внимательно изучить. Позволять теперь приступим.

2. Наш пример: компания Eastman Kodak

Поскольку автор этого блога также интересуется фотографией, мы выбираем компанию Eastman Kodak, или Kodak, который всегда играл значительную роль как в производстве, так и в инновациях для фотографическая техника. Давайте узнаем, что у них есть в сети.

2.1 Базовый поиск

Сначала мы выполняем базовый поиск. После ввода «Eastman Kodak Company» в поле ввода основного поиска и нажав кнопку «Искать», находим следующее:

Вы можете увидеть список из 74 доменов, у которых в записях WHOIS есть «Eastman Kodak Company». Это означает все эти домены связаны с вашим поисковым запросом. Поскольку мы дали довольно конкретное название компании, простой поиск нашел разумное количество записей. Это то, что мы искали в первую очередь: полный список доменов, фактически принадлежащих Kodak. Компания Истман. Но мы можем сделать еще несколько шагов в расследовании.

Мы можем просмотреть информацию о любом из доменов, например, «kodak. com». Щелчок по заданной строке у нас есть следующие варианты:

В отчете WHOIS будет отображаться текущая запись WHOIS и раскрыта контактная информация, соответствующие даты (т. е. создание, последнее обновление и истечение срока действия) и другую информацию. Что может быть еще больше интересен исторический отчет WHOIS, в котором все предыдущие статусы записи WHOIS домена с 2012 года по текущий год.

Каждый отчет WHOIS содержит следующую информацию:

• Возраст домена: Как долго существует домен, в частности, когда он был создан, последний раз обновлялся, и срок его регистрации истекает.
• Имя регистратора: Имя продавца доменного имени.
• Имя сервера регистратора: Имя сервера, на котором размещен домен.
• Связанные серверы имен: Имена резервных серверов регистратора должны быть любые проблемы с основным сервером домена.
• Состояние домена: Активен ли домен или нет, также может указывать ограничения на использование имени, если таковые имеются.
• Контактная информация регистранта .

Обратите внимание, что регистрант, административные, платежные и технические контактные данные могут различаться. В большинстве Однако в некоторых случаях они относятся к одному и тому же лицу, как правило, к веб-администратору компании. В случаях когда владелец домена выбрал анонимную регистрацию, что является общепринятой практикой которые хотели бы ограничить доступ к своей личной информации, контактные данные будут принадлежать представитель хостинг-провайдера. Никакая информация в отчете WHOIS не может быть фальсифицированы, так как это может привести к отзыву лицензии на работу веб-сайта.

Мы опустили детали записи на этом снимке экрана, за исключением соответствующих дат, но они все там. И у нас есть все 12 версий записей WHOIS домена с 2012 года в полная детализация. Совокупные числа в верхних блоках также весьма интересны, поскольку они могут показать изменение названия компании и т. д. «Записи с данными о государственной собственности» представляют особый интерес, поскольку вся экосистема WHOIS в настоящее время претерпевает значительные изменения из-за новой защиты данных нормативные акты (в частности, новый GDPR Европейского Союза). Как нет лучшего источника собственности информация появляется в пути, у нас все еще есть WHOIS как единственный способ узнать, кому принадлежит домен.

Давайте создадим «Обратный отчет WHOIS» для «kodak.com»:

Как вы видите, «kodak.com» искали во всех полях записей WHOIS, поэтому результирующая страница содержит записи, которые были зарегистрированы под альтернативным названием компании. За Например, запись WHOIS «analogcloud.com» показывает, что она была зарегистрирована «Eastman Kodak». (без «Компания»). Другая возможность заключается в том, что домен может принадлежать другой компании. которые имеют к этому какое-то отношение (аффилированные лица, сторонние компании, продающие товары Kodak и т. д.).

Чтобы привести пример из настоящего запроса, «islander.nf» управляется «Службой данных острова Норфолк». ООО Pty.», но их административный контакт, похоже, совпадает с контактом Eastman Kodak. Компания. Домен мог быть куплен Kodak или его аффилированным лицом с помощью быстрого поиска в Google. показывает, что он в настоящее время неактивен. В конце концов, крупные бренды обычно покупают все подряд. домены, которые могут быть очень похожи на те, которые они активно используют для защиты бренда.

Одной из причин этого является защита клиентов от фишинга путем обмана клиентов компании в разглашении их личной информации (имя, адрес, номер телефона, электронная почта адреса, даже их пароли) с помощью различных тактик социальной инженерии, чтобы они могли использовать их для другие мошеннические действия.

Например, они могут использовать неактивный домен (что-то действительно похожее на компанию, в которой они работают). спуфинг), которые, скорее всего, никто не отслеживает и не создает свои собственные формы, пронизанные кейлоггером — вредоносным программа, используемая для регистрации нажатий клавиш компьютера целевой жертвы для получения имен пользователей и пароли.

Вряд ли клиенты знают, что они раздают свои онлайн учетные данные неизвестным злоумышленникам, которые затем могут использовать их для доступа к своим реальным онлайн-аккаунтам. с компанией и получить данные их кредитной карты. Это может даже остаться незамеченным, когда кредитная карта счета оплачиваются без тщательного изучения каждой мелочи.

2.2 Расширенный поиск

Давайте теперь рассмотрим вкладку «Расширенный поиск» и другие возможности для поворота. Вы можете спросить, что возможные причины, по которым вам может понадобиться использовать эту функцию. Скажем, вы получали счета от предполагаемой компании Kodak или филиале в Австралии, в то время как вы даже никогда не были в стране и вы хотите узнать, не стали ли вы жертвой киберпреступника (обратите внимание, что это вымышленный гипотетический сценарий, который был только что предоставлен для контекста). С чего начать?

В рамках «Расширенного поиска» нам также предлагаются две опции: «Везде» позволяет нам дать несколько условия поиска включить или исключить, а также выбор поиска фактических, исторических или недавно обновленных записей. Теперь мы перейдем к «Конкретным полям WHOIS», что позволяет нам задавать условия, специфичные для полей. записи WHOIS, например. страна регистранта.

В частности, будем искать актуальные домены

• , имя которых начинается с «kodak» и
• с регистрантом в Австралии:

Давайте поближе познакомимся с «kodakpixpro.com.au». Отчет WHOIS показывает следующее:

Таким образом, он принадлежит «Directed Electronics Australia Pty Ltd». Обратите внимание на маленькую красную стрелку (>) после этого Имя регистранта: при нажатии нам предлагается два варианта:

• Построить обратный отчет WHOIS
• Добавить в монитор регистрации

Если вы хотите узнать больше о компании, создайте для нее обратный отчет WHOIS, следуя те же шаги, о которых вы узнали ранее при выполнении простого поиска. Обратите внимание, что все инструменты для исследования предметной области отчеты можно загрузить в форматах CSV или PDF.

Если мы хотим следить за активностью этого владельца регистрации, мы также можем легко сделать это отсюда. Просто нажмите «Добавить в Registrant Monitor», и все готово. Вы можете отслеживать любые элементы в WHOIS запись с красной стрелкой (>) рядом с ними с помощью простого щелчка и выбора сделать это.

Помимо отслеживания изменений регистрантов, вы также можете проверить изменения домена и бренда через Монитор домена и монитор бренда, соответственно, чтобы остановить различные угрозы, такие как, например, опечатка (также известная как захват URL-адресов) — когда киберпреступник полагается на орфографические ошибки, чтобы получить перенаправлять ваших клиентов на их вредоносные сайты или страницы.

Посетители, которые попадают, скажем, на «kadok.com» вместо «kodak.com», могут в конечном итоге предоставить доступ злоумышленникам к их законным учетным записям в Интернете на сайте kodak. com и, по сути, к их личным информацию (имя, адрес, номер телефона, адрес электронной почты, данные кредитной карты и т. д.) без понимая это.

Если вы обеспокоены тем, что ваш бренд может быть использован не по назначению или для фишинговых атак, и хотели бы избежать этого, вы можете положиться на Brand Monitoring, чтобы отслеживать домены, которые очень похожи на твой в реальном времени

То же самое можно сделать с доменами с Мониторингом доменов. И если у вас уже есть удобный список владельцы доменов, имеющие отношение к фишинговым атакам и другим киберпреступным действиям в прошлом, вы можно также контролировать с помощью Registrant Monitoring. Все, что вам нужно, это несколько дополнительных щелчков мышью на вкладку «Расширенный поиск» инструмента обратного поиска WHOIS.

Но сейчас мы переходим к обратному отчету WHOIS. Действительно, мы можем ориентироваться на имя регистранта, получается следующее:

Кажется, они управляют 112 доменами — действительно выдающийся игрок на рынке. И мы можно продолжать наш поиск по каждому домену, находя текущие или исторические записи WHOIS, а затем, возможно, ориентируясь на любые поля в результирующих данных.

3. Резюме

Мы продемонстрировали в действии инструмент обратного поиска WHOIS из набора для исследования доменов API WhoisXML. Это простой в использовании, гибкий и поворотный инструмент, объединенный с различными другими поисковыми и Объекты наблюдения. Все они основаны на точной и согласованной базе данных доменов. данные о собственности. Однако если вам удобнее работать с файлами JSON или CSV или вы хотите подключите данные к существующей платформе, попробуйте Reverse WHOIS API, который также является частью WhoisXML API. Вместо этого Domain Research Suite.

Крупные бренды являются главными целями киберпреступников для простого мошенничества с использованием электронной почты. Любой с злонамеренные намерения могут выбрать неконтролируемый домен для компрометации и использования его для мошенничества с выставлением счетов. если ты управляют малым бизнесом и им еще предстоит получить более совершенные инструменты безопасности и персонал, простой и гибкий инструмент, такой как обратный поиск WHOIS или обратный WHOIS API, может оказаться чрезвычайно полезным для ты.

Они не только дают вам информацию о том, кто может наносить ущерб вашему бизнесу, но и многое другое. подробные сведения о том, откуда приходят ваши клиенты. При этом вы можете разблокировать ранее неиспользованные возможности.

Просто убедитесь, что ваш поставщик услуг WHOIS надежен. К счастью, WhoisXML API — это опытный провайдер, который собирает записи доменов WHOIS для всех gTLD и ccTLD. Таким образом, он обеспечивает в режиме реального времени API-интерфейсы, загрузка баз данных, а также инструменты исследования и мониторинга предметной области и анализа угроз для удовлетворения спрос разнообразной и огромной клиентской базы с конкретными потребностями бизнеса.

В настоящее время мы обслуживаем компании из списка Fortune 500, компании, занимающиеся разведкой угроз и информационной безопасностью, поставщики средств обеспечения безопасности, подразделения по борьбе с киберпреступностью, государственные учреждения, агентства по защите бренда, домен реестры и регистраторы, доменные инвесторы и брокеры, банки, платежные системы, телекоммуникационные компании, маркетинговые исследователи, хранилища больших данных, фирмы веб-аналитики, инвестиционные фонды, веб-разработчики, и многое другое.

Более 13,7 миллиардов исторических записей WHOIS, более 721 миллиона доменов отслеживается, отслеживается более 7 298 TLD и более 10 лет опыта сканирования данных, WhoisXML API с помощью пакета Domain Research Suite или его компонентов, Reverse WHOIS Search или Reverse WHOIS API, предоставляет вам настраиваемый доступ к регулярно обновляемой информации WHOIS по всему миру. Заинтересованы? Иди и получить бесплатный аккаунт.

Читать другие статьи

Как найти домены, принадлежащие компании

Почему вы должны искать домены, принадлежащие компании?

Во время тестирования на проникновение в черный или серый ящик для компании одной из основных вещей, которые вам необходимо выяснить, являются домены, принадлежащие компании. Этот метод также полезен для других целей, таких как маркетинг и бизнес-анализ.

Первые шаги, которые нужно выполнить, это базовый поиск, чтобы узнать их веб-сайт и, следовательно, их доменное имя.

— Реклама —

Вы будете использовать этот домен для выполнения whois lookup , чтобы узнать имя «Registrant Organization» для этого домена. Обратный поиск Whois — это мощный способ определить взаимосвязь между информацией о владельце регистрации.

ПРИМЕЧАНИЕ: Некоторые владельцы доменов выбрали «Частную регистрацию». В этом случае их контактные данные не будут доступны в общедоступной базе данных whois.

Веб-инструменты и локальные инструменты для поиска Whois

Существует множество онлайн-инструментов для поиска Whois. Одному из них whois.domaintools.com

Другой способ — через командную строку. Команда Whois в Windows и Linux вернет результаты, которые вы ищете.

 whois cnn.com 

Вернется:

 Доменное имя: cnn.com
Идентификатор домена реестра: 3269879_DOMAIN_COM-VRSN
Регистратор WHOIS-сервер: whois.corporateddomains.com
URL-адрес регистратора: www.cscprotectsbrands. com
Дата обновления: 2020-10-20T13:09:44Z
Дата создания: 1993-09-22T00:00:00.000-04:00
Дата окончания регистрации регистратора: 2026-09-21T00:00:00.000-04:00
Регистратор: CSC CORPORATE DOMAINS, INC.
Идентификатор IANA регистратора: 299
Контактный адрес электронной почты регистратора: [email protected]
Контактный телефон регистратора злоупотреблений: +1.8887802723
Статус домена: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Статус домена: serverDeleteProhibited http://www.icann.org/epp#serverDeleteProhibited
Статус домена: serverTransferProhibited http://www.icann.org/epp#serverTransferProhibited
Статус домена: serverUpdateProhibited http://www.icann.org/epp#serverUpdateProhibited
Идентификатор регистранта в реестре:
Имя регистранта: Менеджер доменных имен
  Зарегистрированная организация: Turner Broadcasting System, Inc. 
Регистрант-стрит: центр One CNN
Город регистрации: Атланта
Государство/провинция регистрации: Джорджия
Почтовый индекс регистранта: 30303
Страна регистрации: США
Телефон регистранта: +1. 4048275000
Добавочный номер телефона регистратора:
Факс регистранта: +1.4048271995
Номер факса регистранта:
Электронная почта регистранта: [email protected]
Идентификатор администратора реестра:
Имя администратора: Менеджер доменных имен
Административная организация: Turner Broadcasting System, Inc.
Административная улица: One CNN Center
Административный город: Атланта
Административный штат/провинция: GA
Почтовый индекс администратора: 30303
Страна администратора: США
Телефон администратора: +1.4048275000
Добавочный телефон администратора:
Факс администратора: +1.4048271995
Административный номер факса:
Электронная почта администратора: [email protected]
Технический идентификатор реестра:
Техническое название: Операции сервера TBS
Техническая организация: Turner Broadcasting System, Inc.
Техническая улица: один центр CNN
Город технологий: Атланта
Технический штат/провинция: Джорджия
Технический почтовый индекс: 30303
Технологическая страна: США
Технический телефон: +1.4048275000
Технический телефон добавочный:
Технический факс: +1. 4048271593
Технический факс:
Техническая электронная почта: [email protected]
Сервер имен: ns-1086.awsdns-07.org
Сервер имен: ns-1630.awsdns-11.co.uk
Сервер имен: ns-47.awsdns-05.com
Сервер имен: ns-576.awsdns-08.net
DNSSEC: без подписи
 

Поиск доменов, зарегистрированных с тем же именем, с обратным поиском

Используйте имя, найденное с помощью whois, и выполните обратный поиск whois , чтобы обнаружить больше доменов, зарегистрированных на то же имя.

Многие онлайн-сервисы, как правило, требуют оплаты за такие услуги, но есть бесплатные ресурсы, которые вы можете использовать.

Некоторые хорошие онлайн-инструменты для поиска whois и обратного поиска whois:

• https://www.reversewhois.io/
• ViewDNS.info
• DomainEye
• DomainIQ

Некоторые владельцы доменов могут выбрать «частную» регистрацию (Google Apps делает это бесплатно), и в этом случае их контактные данные не будут доступны в общедоступной базе данных whois.

Используйте Google Analytics Lookups

Google AdSense популярен только среди издателей контента, но почти каждый веб-сайт использует Google Analytics для статистики трафика. Доступны онлайн-инструменты, которые могут быстро найти все веб-сайты, подключенные к той же учетной записи Google Analytics.

Скачать скрипт AnalyticsRelationships здесь

 git clone https://github.com/Josue87/AnalyticsRelationships 

Скрипт написан как на GO, так и на python.

Python

 cd AnalyticsRelationships/Python
sudo pip3 install -r requirements.txt 

GO

 cd AnalyticsRelationships/
go build -ldflags "-s -w" 

Чтобы запустить скрипт, просто введите нужный URL-адрес веб-сайта, который вы хотите найти

 python3 analyticsrelationships.py -u https://www.example.com 

Он покажет другие веб-сайты, использующие тот же идентификатор Google Analytics, возможно, принадлежащие тому же владельцу.

Что делать дальше

После того, как вы собрали домены, принадлежащие компании, которую вы исследуете или с которой взаимодействуете, во время тестирования на проникновение, вы можете продолжить и обнаружить поддомены, которые откроют службы, работающие на них.

См. эту статью о том, как обнаружить поддомены с помощью нескольких методов и инструментов

Димитрис Гкутзаманис

Веб-сайт | + posts

Димитрис — специалист в области информационных технологий и кибербезопасности с более чем 20-летним опытом проектирования, создания и обслуживания эффективных и безопасных ИТ-инфраструктур.
Среди прочего, он сертифицирован: CISSP, CISA, CISM, ITIL, COBIT и PRINCE2, но его широкий набор знаний и технических возможностей управления выходит за рамки этих сертификатов. Ему нравится приобретать новые навыки в области тестирования на проникновение, облачных технологий, виртуализации, сетевой безопасности, IoT и многого другого.

Является ли регистрант доменного имени владельцем? — Домены — Форумы SitePoint

littlened 17 февраля 2012 г. , 7:56

#1

У меня возникла ситуация, когда некоммерческая организация имеет доменное имя .co.uk.

Когда я выполняю поиск whois, регистрант — это организация, а тип — организация.

Кто-то другой зарегистрировал этот домен под своей учетной записью у регистратора и не хочет передавать домен организации, потому что считает, что он принадлежит им. По сути, они не ладят с людьми в организации.

Я уверен, что это правильно, но я просто хочу проверить…

Если организация указана в качестве регистранта, то это их домен, и может ли он обратиться к регистратору, чтобы он перенес его на свою учетную запись?

ой, а адрес в поиске это адрес того, кто зарегистрировал домен. Это имеет значение?

Спасибо

Ральф 17 февраля 2012 г., 12:02

#2

Обычно я считаю владельцем домена человека, зарегистрировавшего его. Но вы поднимаете интересный вопрос о включении названия организации. Я все еще подозреваю, что право на это имеет отдельный регистрант, но мне было бы интересно узнать, что говорят другие. Я предполагаю, что чье-то имя должно быть указано в регистрации, и людям, которые поссорились с организацией, нельзя позволять уйти с доменом этой организации.

Тиберий14 17 февраля 2012 г., 12:35

#3

Привет
ИМХО и по опыту регистрантом и владельцем могут быть разные лица. Я знаю, что какой-то веб-дизайнер продает веб-пакет, содержащий хостинг, регистрацию домена и, очевидно, дизайн. Часто дизайнер регистрирует домен, вводя свое имя, покупает пакет хостинга и перепродает все это своему клиенту.
чао

система 18 февраля 2012 г. , 5:53

#4

«Кто-то другой зарегистрировал этот домен под своей учетной записью у регистратора» — либо это невозможно, либо «его регистрантом является организация» невозможно. — когда кто-то регистрирует домен, он заполняет все свои данные. Почему появляется название организации, если домен регистрирует какое-то лицо?

«и адрес в поиске это адрес человека, который зарегистрировал домен.» — У этого парня сейчас все права собственности.

Погружение 18 февраля 2012 г., 9:53

#5

Регистрант является владельцем.

ягаре 18 февраля 2012 г., 14:47

#6

Очень интересный сценарий. Но, учитывая факты, организация будет иметь законное право владеть доменом.
Вы можете поднять вопрос с регистратором (службой, через которую у вас зарегистрирован домен)

Если они не могут решить эту проблему, вам необходимо инициировать спор о домене с ICANN с полным описанием.

По сути, вам нужны доказательства того, что организация зарегистрировала домен через X и произвела оплату X за покупку домена. Если у вас нет ни одного из этих письменных доказательств того, что организация попросила зарегистрировать домен.
Кроме того, полезно, если название организации является зарегистрированным товарным знаком или зарегистрированной неправительственной организацией, что немного упростит задачу.

лдкдк 19 февраля 2012 г., 15:57

#7

когда кто-то регистрирует домен, он заполняет все свои данные.
Детали, которые затем могут быть отредактированы владельцем учетной записи регистратора на все, что он / она хочет. Если вы указаны в whois как владелец домена, адреса электронной почты и всего остального, вы в конечном итоге сможете завладеть этим доменом.

система 21 февраля 2012 г., 5:10

#8

Что ж, если организация зарегистрировала домен и вы владеете организацией или являетесь ее руководителем, то технически вы владеете доменом. Если в организации нет огромного совета директоров, вы являетесь единственным владельцем.

ТехноМедведь 22 февраля 2012 г., 22:39

#9

Тиберий14:

Всем привет
ИМХО и по опыту регистрант и владелец могут быть разными лицами. Я знаю, что какой-то веб-дизайнер продает веб-пакет, содержащий хостинг, регистрацию домена и, очевидно, дизайн. Часто дизайнер регистрирует домен, вводя свое имя, покупает пакет хостинга и перепродает все это своему клиенту.
чао

У нас был местный человек, который предлагал подобную услугу — он регистрировал для них домены своих клиентов на свое имя. Все было хорошо, пока он неожиданно не умер. Технически все домены принадлежали ему, и его клиентам приходилось снова платить за передачу им «своих» доменов.

TWeber_TheSBA 23 февраля 2012 г., 00:22

#10

ТехноМедведь:

Все было хорошо, пока он не умер неожиданно. Технически все домены принадлежали ему, и его клиентам приходилось снова платить за передачу им «своих» доменов.

Мне любопытно… вам не нужно называть регистратора, но были ли они теми, кто взимал плату за передачу права собственности? Наша компания предлагает реселлерский хостинг, и несколько лет назад ситуации, подобные описанным в ОП, случались довольно часто. Некоторые дизайнеры сайтов покупают доменное имя для владельца бизнеса и указывают себя в качестве владельца регистрации. Большинство выпустит его, когда его попросят, но некоторые будут держаться за него, если у них возникнут разногласия по поводу выставления счетов, из злости и т. д. Я думаю, что люди немного лучше информированы о том, как работают доменные имена в наши дни, но я думаю, что это все еще происходит.

изобретательда 23 февраля 2012 г., 00:42

#11

На самом деле домены уровня страны обычно подпадают под действие правил, уникальных для доменного управления этой страны. Например, в Австралии (по образцу Великобритании) домены .au регулируются Австралийским управлением доменных имен (AUDA).

Если бы это был австралийский домен, то ответом было бы то, что тот, кто когда-либо использовал ABN или ACN, владеет доменом. (Бизнес-номер или номер компании должен быть предоставлен для регистрации расширения бизнеса в Австралии, такого как .com.au или .net.au).

Если есть спор о праве собственности (часто случается, когда веб-дизайнер использует свой собственный ABN вместо клиентов), вы можете изменить ABN или ACN (много документов и стоит целое состояние) или если это язвительный спор — обратитесь за решением от AUDA (что стоит еще дороже).

Или пригласите адвокатов.

Домены GTLD практически не регулируются по сравнению с этим режимом. И споры могут стать очень грязными.

Ура — Тим из Ingenyes

Восточное побережье 28 февраля 2012 г. , 00:48

#12

маленький:

У меня возникла ситуация, когда у некоммерческой организации есть доменное имя .co.uk.

Когда я выполняю поиск whois, регистрант — это организация, а тип — организация.

Кто-то другой зарегистрировал этот домен под своей учетной записью у регистратора и не желает передавать домен организации, поскольку считает, что он принадлежит им. По сути, они не ладят с людьми в организации.

Организация должна связаться с номинальным оператором, который является высшим авторитетом в отношении доменов Великобритании. Я выполнял этот процесс для людей в прошлом и обнаружил, что процесс относительно прост, а номинальные представители полезны. Регистратор вряд ли сможет помочь — обычно они будут иметь дело только с теми, кто оплатил счета за домен, или будут делать то, что им скажет nominet. Законно зарегистрированные в Великобритании компании и организации могут фактически отменить личную регистрацию, вам нужно будет попросить директора или руководство организации сообщить кандидату о подтверждении статуса.

брианоз 7 марта 2012 г., 11:32

№13

Погружение:

Регистрант является владельцем.

Регистрант — это просто техническое имя владельца. Таким образом, регистрант является владельцем.

Миттиниг в архиве 2 октября 2014 г., 19:49

№14

Группы безопасности Active Directory | Microsoft Learn

• Статья
• 20. 09.2022
• 53 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016

Узнайте о группах безопасности Active Directory по умолчанию, области действия группы и функциях группы.

Что такое группа безопасности в Active Directory?

Active Directory имеет две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физическое лицо, которое является либо человеком, либо компьютером. Учетная запись пользователя также может использоваться в качестве выделенной служебной учетной записи для некоторых приложений.

Группы безопасности — это способ собрать учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы.

В операционной системе Windows Server несколько встроенных учетных записей и групп безопасности предварительно настроены с соответствующими правами и разрешениями для выполнения определенных задач. В Active Directory административные обязанности разделены на два типа администраторов:

• Администраторы служб : Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

• Администраторы данных : Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.

Как работают группы безопасности Active Directory

Используйте группы для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.

Active Directory имеет два типа групп:

Группы безопасности

Группы безопасности могут обеспечить эффективный способ назначения доступа к ресурсам в вашей сети. Используя группы безопасности, вы можете:

• Назначать права пользователей группам безопасности в Active Directory.

  Назначьте права пользователя группе безопасности, чтобы определить, что члены этой группы могут делать в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.

  Например, пользователь, которого вы добавляете в группу операторов резервного копирования в Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Пользователь может выполнять эти действия, поскольку по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически назначаются группе Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.

  Вы можете использовать групповую политику для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.

• Назначение разрешений группам безопасности для ресурсов.

  Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например «Полный доступ» или «Чтение». Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».

  Группы безопасности перечислены в дискреционных списках управления доступом (DACL), которые определяют разрешения для ресурсов и объектов. Когда администраторы назначают разрешения для таких ресурсов, как общие файловые ресурсы или принтеры, они должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. Пользователь получает разрешения, определенные для этой группы.

Вы можете использовать группу безопасности в качестве объекта электронной почты. Отправка сообщения электронной почты группе безопасности отправляет сообщение всем членам группы.

Группы рассылки

Группы рассылки можно использовать только для отправки электронной почты группам пользователей с помощью почтового приложения, такого как Exchange Server. Группы рассылки не защищены, поэтому их нельзя включать в списки DACL.

Область действия группы

Каждая группа имеет область действия, определяющую степень применения группы в дереве доменов или лесу. Область действия группы определяет, где в сети могут быть предоставлены разрешения для группы. Active Directory определяет следующие три группы:

• Универсальный

• Глобальный

• Локальный домен

Примечание

В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.

В следующей таблице описаны три области групп и то, как они работают в качестве групп безопасности:

Область	Возможные участники	Преобразование прицела	Может предоставлять разрешения	Возможный член
Универсальный	Учетные записи из любого домена в том же лесу Глобальные группы из любого домена в том же лесу Другие универсальные группы из любого домена в том же лесу	Можно преобразовать в локальную область домена, если группа не является членом какой-либо другой универсальной группы Можно преобразовать в глобальную область, если группа не содержит никакой другой универсальной группы	В любом домене в том же лесу или доверительных лесах	Другие универсальные группы в том же лесу Домен Локальные группы в том же лесу или лесах доверия Локальные группы на компьютерах в том же лесу или лесах доверия
Глобальный	Аккаунты из того же домена Прочие глобальные группы из того же домена	Можно преобразовать в универсальную область, если группа не является членом какой-либо другой глобальной группы	В любом домене в том же лесу или доверенных доменах или лесах	Универсальные группы из любого домена в том же лесу Прочие глобальные группы из того же домена Домен Локальные группы из любого домена в том же лесу или из любого доверяющего домена
Локальный домен	Учетные записи из любого домена или любого доверенного домена Глобальные группы из любого домена или любого доверенного домена Универсальные группы из любого домена в том же лесу Локальные группы другого домена из того же домена Учетные записи, глобальные группы и универсальные группы из других лесов и внешних доменов	Можно преобразовать в универсальную область, если группа не содержит никакой другой локальной группы домена	В пределах одного домена	Другой домен Локальные группы из того же домена Локальные группы на компьютерах в том же домене, за исключением встроенных групп, которые имеют общеизвестные идентификаторы безопасности (SID)

Группы специальных идентификаторов

Специальные идентификаторы называются группами. Специальные группы удостоверений не имеют определенного членства, которое можно изменить, но они могут представлять разных пользователей в разное время в зависимости от обстоятельств. К некоторым из этих групп относятся Creator Owner, Batch и Authenticated User.

Дополнительные сведения см. в разделе Специальные группы удостоверений.

Группы безопасности по умолчанию

Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы для управления доступом к общим ресурсам и для делегирования определенных административных ролей на уровне домена.

Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, например, входить в локальную систему или создавать резервные копии файлов и папок. Например, член группы операторов резервного копирования может выполнять операции резервного копирования для всех контроллеров домена в домене.

При добавлении пользователя в группу он получает все права пользователя, назначенные группе, включая все разрешения, назначенные группе для любых общих ресурсов.

Группы по умолчанию расположены в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Контейнер Builtin включает в себя группы, определенные с областью действия «Локальный домен». Контейнер «Пользователи» включает группы, определенные с глобальной областью действия, и группы, определенные с локальной областью домена. Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или организационные подразделения в пределах домена, но не можете перемещать их в другие домены.

Некоторые административные группы, перечисленные в этой статье, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности одной из административных учетных записей или групп будет перезаписана защищенными параметрами.

Дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые применяются ко всем вашим защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию

В следующем списке приведены описания групп по умолчанию, которые расположены в контейнерах Builtin и Users в Active Directory:

• Операторы помощи в управлении доступом
• Операторы счетов
• Администраторы
• Разрешенная репликация пароля RODC
• Операторы резервного копирования
• Служба сертификатов Доступ к DCOM
• Издатели сертификатов
• Клонируемые контроллеры домена
• Криптографические операторы
• Отказано в репликации пароля RODC
• Владельцы устройств
• Администраторы DHCP
• Пользователи DHCP
• Распределенные пользователи COM
• Днсупдатепрокси
• DNS-администраторы
• Администраторы домена
• Компьютеры домена
• Контроллеры домена
• гостей домена
• пользователей домена
• Администраторы предприятия
• Ключевые администраторы предприятия
• Корпоративные контроллеры домена только для чтения
• Читатели журнала событий
• Владельцы создателей групповой политики
• Гостей
• Администраторы Hyper-V
• ИИС_ИУСРС
• Входящие строители Forest Trust
• Ключевые администраторы
• Операторы конфигурации сети
• Пользователи журнала производительности
• Пользователи системного монитора
• Доступ, совместимый с версиями до Windows 2000
• Операторы печати
• Защищенные пользователи
• Серверы RAS и IAS
• Конечные серверы RDS
• Серверы управления RDS
• Серверы удаленного доступа RDS
• Контроллеры домена только для чтения
• Пользователи удаленного рабочего стола
• Пользователи удаленного управления
• Репликатор
• Администраторы схемы
• Операторы сервера
• Администраторы реплики хранилища
• Системные управляемые учетные записи
• Серверы лицензий серверов терминалов
• пользователей
• Доступ к авторизации Windows
• WinRMRemoteWMIUsers_

Операторы помощи в управлении доступом

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа операторов помощи в управлении доступом относится к операционной системе Windows Server, указанной в таблице групп безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-579
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Операторы учетной записи

Группа Операторы учетной записи предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальные группы и глобальные группы. Члены группы могут локально входить в контроллеры домена.

Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.

Группа «Операторы учетных записей» применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию.

Примечание

По умолчанию эта встроенная группа не имеет членов. Группа может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или удалить.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-548
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Разрешить локальный вход: SeInteractiveLogonRight

Администраторы

Члены группы администраторов имеют полный и неограниченный доступ к компьютеру. Если компьютер повышен до контроллера домена, члены группы «Администраторы» имеют неограниченный доступ к домену.

Группа администраторов применяется к операционной системе Windows Server в списке групп безопасности Active Directory по умолчанию.

Примечание

Группа «Администраторы» имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или удалить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах. Члены следующих групп могут изменять членство в группе администраторов: администраторы службы по умолчанию, администраторы домена в домене и администраторы предприятия. Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

• Изменения прав пользователя по умолчанию: Разрешить вход через службы терминалов существовал в Windows Server 2008 и был заменен Разрешить вход через службы удаленных рабочих столов.

• Удаление компьютера с док-станции было удалено в Windows Server 2012 R2.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-544
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Администратор, Администраторы домена, Администраторы предприятия
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Настройте квоты памяти для процесса: SeIncreaseQuotaPrivilege Доступ к этому компьютеру из сети: SeNetworkLogonRight Разрешить локальный вход в систему: SeInteractiveLogonRight Разрешить вход через службы удаленных рабочих столов: SeRemoteInteractiveLogonRight Резервное копирование файлов и каталогов: SegeBackupPriviles0004 Bypass traverse checking: SeChangeNotifyPrivilege Change the system time: SeSystemTimePrivilege Change the time zone: SeTimeZonePrivilege Create a pagefile: SeCreatePagefilePrivilege Create global objects: SeCreateGlobalPrivilege Create symbolic links: SeCreateSymbolicLinkPrivilege Debug programs: SeDebugPrivilege Включить доверенные учетные записи компьютеров и пользователей для делегирования: SeEnableDelegationPrivilege Отключение силы от удаленной системы: Seremoteshutdownprivilege Выдайте выпуск клиента после аутентификации: Seimpersonateprivilege Приоритет увеличения планирования: SeincreaseBasepiorityPrivilege Devilting Device Devilire Dablog. Dablog Dablog a a a a a a a aбеаллевой. журнал безопасности: SeSecurityPrivilege Изменить значения среды встроенного ПО: SeSystemEnvironmentPrivilege выполнять задачи по обслуживанию объема: Semanagevolumeprivilege Профиляющие системы. файлов или других объектов: SeTakeOwnershipPrivilege

Разрешена репликация паролей контроллера домена только для чтения

Целью этой группы безопасности является управление политикой репликации паролей контроллера домена только для чтения (RODC). В этой группе по умолчанию нет членов, и это приводит к тому, что новые контроллеры домена только для чтения не кэшируют учетные данные пользователя. Группа запрещенной репликации паролей RODC содержит различные учетные записи с высокими привилегиями и группы безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».

Группа Разрешенная репликация паролей RODC применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-571
Тип	Локальный домен
Контейнер по умолчанию	CN=Пользователи DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Операторы резервного копирования

Члены группы операторов резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, защищающих эти файлы. Операторы резервного копирования также могут входить в систему и выключать компьютер. Эту группу нельзя переименовать, удалить или удалить. По умолчанию в этой встроенной группе нет членов, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Члены следующих групп могут изменять членство в группе операторов резервного копирования: администраторы службы по умолчанию, администраторы домена в домене и администраторы предприятия. Члены группы «Операторы резервного копирования» не могут изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять параметры сервера или конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена. Поскольку члены этой группы могут заменять файлы на контроллерах домена, они считаются администраторами службы.

Группа операторов резервного копирования применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-551
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Разрешить локальный вход: SeInteractiveLogonRight Резервное копирование файлов и каталогов: SeBackupPrivilege Вход в систему как пакетное задание: SeBatchLogonRight Восстановление файлов и каталогов: SeRestorePrivilege Завершение работы системы: SeShutdownPrivilege

Служба сертификации Доступ к DCOM

Члены этой группы могут подключаться к центрам сертификации на предприятии.

Группа доступа DCOM службы сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-32-<домен>-574
Тип	Локальный домен
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Издатели сертификатов

Члены группы издателей сертификатов имеют право публиковать сертификаты для объектов «Пользователь» в Active Directory.

Группа издателей сертификатов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-517
Тип	Локальный домен
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Отказано в репликации пароля RODC
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Клонируемые контроллеры домена

Члены группы Клонируемые контроллеры домена, которые являются контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и Windows Server 2012 вы можете развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде вам больше не нужно повторно развертывать образ сервера, подготовленный с помощью Sysprep.exe , повысив уровень сервера до контроллера домена, а затем выполните дополнительные требования к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена в эту группу безопасности).

Дополнительные сведения см. в разделе Введение в виртуализацию доменных служб Active Directory (AD DS) (уровень 100).

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-522
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Криптографические операторы

Члены этой группы уполномочены выполнять криптографические операции. Эта группа безопасности была добавлена ​​в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

Группа операторов шифрования применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности была введена в Windows Vista с пакетом обновления 1 (SP1) и не менялась в последующих версиях.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-569
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию из	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Запрещена репликация паролей RODC

Пароли членов запрещенной группы репликации паролей RODC не могут быть реплицированы ни на один RODC.

Целью этой группы безопасности является управление политикой репликации паролей RODC. Эта группа содержит различные учетные записи с высокими привилегиями и группы безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

• Windows Server 2012 изменила членов по умолчанию, чтобы включить издателей сертификатов.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-572
Тип	Локальный домен
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Издатели сертификатов Администраторы домена Контроллеры домена Администраторы предприятия Владельцы создателей групповой политики Контроллеры домена только для чтения Администраторы схемы
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Владельцы устройств

Если в группе владельцев устройств нет членов, рекомендуется не изменять конфигурацию по умолчанию для этой группы безопасности. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой группе. Группа владельцев устройств в настоящее время не используется в Windows.

Группа владельцев устройств применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-583
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Член по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Вы можете переместить группу, но мы не рекомендуем это делать
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Разрешить локальный вход: SeInteractiveLogonRight Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход проверки хода: SeChangeNotifyPrivilege Изменение часового пояса: SeTimeZonePrivilege

Администраторы DHCP

Члены группы администраторов DHCP могут создавать, удалять и управлять различными областями области действия сервера, включая права на резервное копирование и восстановление базы данных протокола динамической конфигурации хоста (DHCP). Несмотря на то, что у этой группы есть административные права, она не является частью группы «Администраторы», поскольку эта роль ограничена службами DHCP.

Группа администраторов DHCP применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	пользователей
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Вы можете переместить группу, но мы не рекомендуем это делать
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Пользователи DHCP

Члены группы пользователей DHCP могут видеть, какие области активны или неактивны, видеть, какие IP-адреса назначены, и просматривать проблемы с подключением, если DHCP-сервер настроен неправильно. Эта группа имеет доступ только для чтения к серверу DHCP.

Группа пользователей DHCP применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	пользователей
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Вы можете переместить группу, но мы не рекомендуем это делать
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Пользователи распределенных COM

Члены группы пользователей распределенных COM могут запускать, активировать и использовать объекты распределенных COM на компьютере. Microsoft Component Object Model (COM) — это независимая от платформы, распределенная, объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать. Модель распределенных компонентных объектов (DCOM) позволяет распределять приложения по местам, наиболее удобным для вас и для приложения. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет содержать хозяина операций (также называемого 9-м контроллером домена).0542 гибкие операции с одним мастером или FSMO ) роль.

Группа пользователей распределенных COM применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-562
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Днсупдатепрокси

Члены группы DnsUpdateProxy являются DNS-клиентами. Им разрешено выполнять динамические обновления от имени других клиентов, например, для DHCP-серверов. DNS-сервер может создавать устаревшие записи ресурсов, если DHCP-сервер настроен на динамическую регистрацию записей ресурсов узла (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности смягчает этот сценарий.

Однако для защиты от незащищенных записей или для разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, допускающих только защищенные динамические обновления, необходимо создать специальную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных ( имя пользователя, пароль и домен) этой учетной записи. Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения см. в разделе Владение записью DNS и группе DnsUpdateProxy.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>—<переменная RI>
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

DnsAdmins

Члены группы DnsAdmins имеют доступ к сетевой информации DNS. Разрешения по умолчанию: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, специальные разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения о безопасности и DNS см. в разделе DNSSEC в Windows Server 2012.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>—<переменная RI>
Тип	Встроенный Локальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Член по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Администраторы домена

Члены группы безопасности «Администраторы домена» имеют право администрировать домен. По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена. Группа «Администраторы домена» является владельцем по умолчанию любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».

Группа администраторов домена управляет доступом ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене. Члены групп администраторов службы в своем домене (администраторы и администраторы домена) и члены группы администраторов предприятия могут изменять членство администраторов домена. Эта группа считается учетной записью администратора службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

Группа администраторов домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-512
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Администратор
Элемент по умолчанию	Администраторы Отказано в репликации пароля RODC
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	См. Администраторы См. Отказ в репликации пароля контроллера домена только для чтения

Компьютеры домена

В эту группу могут входить все компьютеры и серверы, присоединившиеся к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

Группа компьютеров домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-515
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Все компьютеры, присоединенные к домену, кроме контроллеров домена
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Да (но не обязательно)
Безопасно делегировать управление этой группой необслуживающим администраторам?	Да
Права пользователя по умолчанию	Нет

Контроллеры домена

Группа Контроллеры домена может включать все контроллеры домена в домене. Новые контроллеры домена автоматически добавляются в эту группу.

Группа контроллеров домена относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-516
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Учетные записи компьютеров для всех контроллеров домена домена
Элемент по умолчанию	Отказано в репликации пароля RODC
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	№
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Гости домена

Группа гостей домена включает встроенную учетную запись гостя домена. Когда члены этой группы входят в систему в качестве локальных гостей на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

Группа «Гости домена» относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-514
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Гость
Элемент по умолчанию	Гостей
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Вы можете переместить группу, но мы не рекомендуем это делать
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Посмотреть гостей

Пользователи домена

Группа «Пользователи домена» включает все учетные записи пользователей в домене. Когда вы создаете учетную запись пользователя в домене, она автоматически добавляется в эту группу.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Вы можете использовать эту группу для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе или добавить группу «Пользователи домена» в локальную группу на сервере печати, имеющем разрешения для принтера.

Группа пользователей домена применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-513
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Администратор
крбтгт
Элемент по умолчанию	пользователей
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	См. пользователей

Администраторы предприятия

Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory. Группа является универсальной, если домен находится в основном режиме. Группа является глобальной, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены.

По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу администраторов в каждом домене леса и предоставляет полный доступ к настройке всех контроллеров домена. Члены этой группы могут изменять членство во всех административных группах. Члены групп администраторов служб по умолчанию в корневом домене могут изменять членство в группе администраторов предприятия. Эта группа считается учетной записью администратора службы.

Группа администраторов предприятия применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<корневой домен>-519
Тип	Универсальный, если домен находится в основном режиме; в противном случае Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Администратор
Элемент по умолчанию	Администраторы Отказано в репликации пароля RODC
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	См. Администраторы См. Отказ в репликации пароля контроллера домена только для чтения

Enterprise Key Admins

Члены этой группы могут выполнять административные действия над ключевыми объектами в лесу.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-527
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Предприятие Контроллеры домена только для чтения

Членами этой группы являются контроллеры домена только для чтения на предприятии. За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, которые содержит доступный для записи контроллер домена. Однако нельзя вносить изменения в базу данных, хранящуюся на контроллере домена только для чтения. Изменения должны быть сделаны на доступном для записи контроллере домена, а затем реплицированы на контроллер домена только для чтения.

RODC решают некоторые проблемы, которые обычно возникают в филиалах. В этих расположениях может не быть контроллера домена, или у них может быть контроллер домена с возможностью записи, но не физическая безопасность, пропускная способность сети или местный опыт для его поддержки.

Дополнительные сведения см. в разделе Что такое контроллер домена только для чтения?

Группа корпоративных контроллеров домена только для чтения применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<корневой домен>-498
Тип	Универсальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Читатели журнала событий

Члены этой группы могут читать журналы событий с локальных компьютеров. Группа создается, когда сервер повышается до контроллера домена.

Группа чтения журнала событий относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-573
Тип	Локальный домен
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Владельцы-создатели групповой политики

Эта группа уполномочена создавать, редактировать и удалять объекты групповой политики в домене. По умолчанию единственным членом группы является администратор.

Сведения о других функциях, которые можно использовать с этой группой безопасности, см. в разделе Обзор групповой политики.

Группа владельцев-создателей групповой политики применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-520
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Администратор
Элемент по умолчанию	Отказано в репликации пароля RODC
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	№
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	См. Отказ в репликации пароля RODC

Гости

Члены группы «Гости» по умолчанию имеют такой же доступ, как и члены группы «Пользователи», за исключением того, что учетная запись «Гость» имеет дополнительные ограничения. По умолчанию единственным участником является гостевая учетная запись. Группа «Гости» позволяет случайным или разовым пользователям входить с ограниченными правами во встроенную гостевую учетную запись компьютера.

Когда член группы «Гости» выходит из системы, весь профиль удаляется. Удаление профиля включает в себя все, что хранится в каталоге %userprofile% , включая информацию куста реестра пользователя, пользовательские значки на рабочем столе и другие пользовательские настройки. Этот факт означает, что гость должен использовать временный профиль для входа в систему. Эта группа безопасности взаимодействует с параметром групповой политики. Когда эта группа безопасности включена, не входить в систему пользователей с временными профилями . Чтобы получить доступ к этому параметру, перейдите к Конфигурация компьютера > Административные шаблоны > Система > Профили пользователей .

Примечание

Учетная запись «Гость» по умолчанию является членом группы безопасности «Гости». Пользователи, у которых нет фактической учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, чья учетная запись отключена (но не удалена), также может использовать гостевую учетную запись. Учетная запись гостя не требует пароля. Вы можете установить права и разрешения для гостевой учетной записи, как и для любой учетной записи пользователя. По умолчанию учетная запись «Гость» является членом встроенной группы «Гости» и глобальной группы «Гости домена», что позволяет пользователю входить в домен. Учетная запись гостя отключена по умолчанию, и мы рекомендуем оставить ее отключенной.

Группа «Гости» относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-546
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	гостей домена
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Администраторы Hyper-V

Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V. Добавление участников в эту группу помогает уменьшить количество членов, необходимых в группе администраторов, и еще больше разделяет доступ.

Примечание

До Windows Server 2012 доступ к функциям в Hyper-V частично контролировался членством в группе администраторов.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-578
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

IIS_IUSRS

IIS_IUSRS — это встроенная группа, которая используется службами IIS, начиная с IIS 7. Операционная система гарантирует, что встроенная учетная запись и группа всегда будут иметь уникальный идентификатор безопасности. IIS 7 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой операционной системы Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

Дополнительные сведения см. в разделе Общие сведения о встроенных учетных записях пользователей и групп в IIS 7.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-568
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	ИУСР
Элемент по умолчанию из	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?
Безопасно делегировать управление этой группой необслуживающим администраторам?
Права пользователя по умолчанию	Нет

Создатели доверия входящего леса

Члены группы создателей доверия входящего леса могут создавать входящие односторонние отношения доверия с этим лесом. Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменом и лесом. Прежде чем аутентификация может выполняться через доверительные отношения, Windows должна определить, имеет ли домен, запрошенный пользователем, компьютером или службой, доверительные отношения с доменом входа в запрашивающую учетную запись.

Для этого система безопасности Windows вычисляет доверительный путь между контроллером домена для сервера, который получает запрос, и контроллером домена в домене запрашивающей учетной записи. Защищенный канал распространяется на другие домены Active Directory через отношения доверия между доменами. Этот защищенный канал используется для получения и проверки информации о безопасности, включая SID для пользователей и групп.

Эта группа отображается как SID до тех пор, пока контроллер домена не будет назначен основным контроллером домена и не получит роль хозяина операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения см. в разделе Как работают доверительные отношения между доменами и лесами: Доверительные отношения между доменами и лесами.

Группа Incoming Forest Trust Builders применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-557
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Ключевые администраторы

Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.

Группа ключевых администраторов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<домен>-526
Тип	Глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Нет
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Нет

Операторы настройки сети

Члены группы Операторы настройки сети могут иметь следующие административные привилегии для управления конфигурацией сетевых функций: подключение к локальной сети (LAN), которое включает IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

• Переименуйте соединения LAN или соединения удаленного доступа, доступные всем пользователям.

• Включение или отключение подключения по локальной сети.

• Изменить свойства всех подключений удаленного доступа пользователей.

• Удалить все подключения удаленного доступа пользователей.

• Переименуйте все подключения удаленного доступа пользователей.

• Выпуск ipconfig , ipconfig /release и ipconfig /renew .

• Введите ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

Эта группа отображается как SID до тех пор, пока контроллер домена не будет назначен основным контроллером домена и не получит роль хозяина операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа операторов конфигурации сети применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи журнала производительности

Члены группы пользователей журнала производительности могут управлять счетчиками производительности, журналами и оповещениями локально на сервере и с удаленных клиентов, не будучи членом группы администраторов. В частности, члены этой группы безопасности:

• Может использовать все функции, доступные группе пользователей монитора производительности.

• Может создавать и изменять наборы сборщиков данных после того, как группе назначено право пользователя «Вход в качестве пакетного задания».

  Предупреждение

  Если вы являетесь членом группы пользователей журнала производительности, вы должны настроить группы сборщиков данных, которые вы создаете, для запуска под вашими учетными данными.

  Примечание

  В Windows Server 2016 и более поздних версиях член группы пользователей журнала производительности не может создавать группы сборщиков данных. Если член группы «Пользователи журнала производительности» попытается создать наборы сборщиков данных, он не сможет выполнить это действие, так как ему будет отказано в доступе.

• Не удается использовать поставщик событий трассировки ядра Windows в группах сборщиков данных.

Чтобы члены группы «Пользователи журнала производительности» могли инициировать регистрацию данных или изменять наборы сборщиков данных, группе необходимо сначала назначить право «Вход в качестве пользователя пакетного задания». Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Microsoft (MMC).

Эта группа отображается как SID до тех пор, пока контроллер домена не будет назначен основным контроллером домена и не получит роль хозяина операций (FSMO). Эту учетную запись нельзя переименовать, удалить или переместить.

Группа пользователей журнала производительности относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи системного монитора

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не будучи членами групп «Администраторы» или «Пользователи журнала производительности». Windows Performance Monitor — это оснастка MMC, предоставляющая инструменты для анализа производительности системы. С единой консоли вы можете отслеживать производительность приложений и оборудования, настраивать данные, которые вы хотите собирать в журналах, определять пороговые значения для предупреждений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

В частности, члены этой группы безопасности:

• Могут использовать все функции, доступные для группы «Пользователи».

• Может просматривать данные о производительности в режиме реального времени в системном мониторе.

• Можно изменить свойства отображения монитора производительности при просмотре данных.

• Не удается создать или изменить группы сборщиков данных.

Предупреждение

Члены группы пользователей системного монитора не могут настраивать наборы сбора данных.

Эта группа отображается как SID до тех пор, пока контроллер домена не будет назначен основным контроллером домена и не получит роль хозяина операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа пользователей системного монитора относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Доступ, совместимый с версиями до Windows 2000

Члены группы доступа, совместимые с версиями до Windows 2000, имеют доступ на чтение для всех пользователей и групп в домене. Эта группа предназначена для обратной совместимости с компьютерами под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений Все являются членами этой группы. Добавляйте пользователей в эту группу, только если они работают под управлением Windows NT 4.0 или более ранней версии.

Предупреждение

Эта группа отображается как SID до тех пор, пока контроллер домена не будет назначен основным контроллером домена и не получит роль хозяина операций (FSMO).

Группа доступа, совместимая с версиями до Windows 2000, применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	С-1-5-32-554
Тип	Встроенный Локальный
Контейнер по умолчанию	CN = Встроенный, DC = <домен>, DC =
Элементы по умолчанию	Если вы выберете режим разрешений, совместимых с версиями до Windows 2000, участниками станут все и анонимные пользователи. Если вы выберете режим разрешений только для Windows 2000, авторизованные пользователи станут участниками.
Элемент по умолчанию	Нет
Защищено AdminSDHolder?	№
Безопасно ли перемещаться из контейнера по умолчанию?	Не может быть перемещен
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход проверки обхода: SeChangeNotifyPrivilege

Операторы печати

Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить и отключать контроллеры домена в домене.

В этой группе нет участников по умолчанию. Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или удалить.

Группа «Операторы печати» применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Дополнительные сведения см. в разделе Назначение делегированного администратора печати и параметров разрешений принтера в Windows Server 2012.

Защищенные пользователи

Члены группы защищенных пользователей имеют дополнительную защиту от компрометации учетных данных во время процессов аутентификации.

Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. Члены этой группы автоматически применяют ненастраиваемую защиту к своим учетным записям. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно безопасным. Единственный способ изменить защиту учетной записи — удалить учетную запись из группы безопасности.

Эта глобальная группа, связанная с доменом, запускает ненастраиваемую защиту на устройствах и хост-компьютерах, начиная с операционных систем Windows Server 2012 R2 и Windows 8.1. Он также запускает ненастраиваемую защиту на контроллерах домена в доменах, в которых основной контроллер домена работает под управлением Windows Server 2016 или Windows Server 2012 R2. Эта защита значительно сокращает объем памяти, занимаемой учетными данными, когда пользователи входят на компьютеры в сети с незащищенного компьютера.

В зависимости от функционального уровня домена учетной записи члены группы «Защищенные пользователи» дополнительно защищены благодаря изменениям поведения в методах аутентификации, поддерживаемых в Windows:

• Члены группы «Защищенные пользователи» не могут пройти аутентификацию с помощью следующие поставщики поддержки безопасности (SSP): NTLM, Digest Authentication или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 10 или Windows 8.1, поэтому устройство не может пройти проверку подлинности в домене, если учетная запись является членом группы защищенных пользователей.

• Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Домен должен быть настроен для поддержки хотя бы набора шифров AES.

• Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Если пользователь является членом группы защищенных пользователей, более ранние подключения к другим системам могут завершиться неудачно.

• Вы можете изменить установленный по умолчанию срок действия билетов на выдачу билетов (TGT) Kerberos, составляющий четыре часа, с помощью политик аутентификации и бункеров в центре администрирования Active Directory. По умолчанию по прошествии четырех часов пользователь должен пройти повторную аутентификацию.

Группа защищенных пользователей относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. в разделе Группа безопасности «Защищенные пользователи».

В следующей таблице указаны свойства группы защищенных пользователей:

Серверы RAS и IAS

Компьютеры, входящие в группу серверов RAS и IAS, при правильной настройке могут использовать службы удаленного доступа. По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа (RRAS) и службы удаленного доступа, такие как служба проверки подлинности в Интернете (IAS) и серверы сетевой политики, добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», «Чтение информации о входе в систему» ​​и «Чтение информации об удаленном доступе».

Группа серверов RAS и IAS применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

RDS Endpoint Servers

Серверы, входящие в группу RDS Endpoint Servers, могут запускать виртуальные машины и размещать сеансы, на которых выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы. Вы должны заполнить эту группу на серверах, на которых работает посредник подключений к удаленному рабочему столу. Серверы узлов сеансов и серверы узлов виртуализации удаленных рабочих столов, используемые в развертывании, должны входить в эту группу.

Сведения о службах удаленных рабочих столов (RDS) см. в разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Серверы управления RDS

Серверы, входящие в группу серверов управления RDS, можно использовать для выполнения рутинных административных действий на серверах, на которых работает RDS. Вы должны заполнить эту группу на всех серверах в развертывании RDS. В эту группу должны быть включены серверы, на которых запущена служба RDS Central Management.

Серверы удаленного доступа RDS

Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и личным виртуальным рабочим столам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Вы должны заполнить эту группу на серверах, на которых работает посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются в развертывании, должны быть в этой группе.

Дополнительные сведения см. в разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена только для чтения в домене. Контроллер домена только для чтения позволяет организациям легко развернуть контроллер домена в сценариях, в которых невозможно гарантировать физическую безопасность, например, в филиалах или когда локальное хранилище всех паролей домена считается основной угрозой, например, в экстрасети или роль, обращенная к приложению.

Поскольку администрирование контроллера домена только для чтения можно делегировать пользователю домена или группе безопасности, контроллер домена только для чтения хорошо подходит для сайта, на котором не должно быть пользователя, входящего в группу администраторов домена. Контроллер домена только для чтения имеет следующие функции:

• Содержит доступную только для чтения базу данных AD DS

• Однонаправленная репликация

• Кэширование учетных данных

• Разделение роли администратора

• Содержит систему доменных имен (DNS) только для чтения

Дополнительные сведения см. в разделе Общие сведения о планировании и развертывании контроллеров домена только для чтения.

Пользователи удаленного рабочего стола

Используйте группу пользователей удаленного рабочего стола на сервере узла сеансов удаленных рабочих столов, чтобы предоставить пользователям и группам разрешения на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или удалить. Группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (FSMO).

Группа пользователей удаленного рабочего стола относится к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи удаленного управления

Члены группы пользователей удаленного управления могут получать доступ к ресурсам инструментария управления Windows (WMI) по протоколам управления, таким как WS-Management, через службу удаленного управления Windows. Доступ к ресурсам WMI применяется только к пространствам имен WMI, которые предоставляют доступ пользователю.

Используйте группу пользователей удаленного управления, чтобы разрешить пользователям управлять серверами через консоль диспетчера серверов. Используйте группу WinRMRemoteWMIUsers\_, чтобы разрешить пользователям удаленно выполнять команды Windows PowerShell.

Дополнительные сведения см. в разделе Что нового в MI? и О WMI.

Репликатор

Компьютеры, входящие в группу репликаторов, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, которые хранятся в папке системного тома (папке sysvol). Каждый контроллер домена хранит копию папки sysvol для доступа сетевых клиентов. FRS также может реплицировать данные для распределенной файловой системы (DFS) и синхронизировать содержимое каждого члена в наборе реплик, как это определено DFS. Служба FRS может одновременно копировать и поддерживать общие файлы и папки на нескольких серверах. При внесении изменений контент немедленно синхронизируется внутри сайтов и по расписанию между сайтами.

Предупреждение

В Windows Server 2008 R2 нельзя использовать FRS для репликации папок DFS или пользовательских (не системных) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса папки sysvol в домене, который использует FRS для репликации общего ресурса папки sysvol между контроллерами домена. Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса папки sysvol. Служба репликации DFS является заменой FRS. Вы можете использовать репликацию DFS для репликации содержимого общего ресурса папки sysvol, папок DFS и других пользовательских (не sysvol) данных. Все наборы реплик FRS, не относящиеся к sysvol, следует перенести в репликацию DFS.

Для получения дополнительной информации см.:

• Служба репликации файлов (FRS) устарела в Windows Server 2008 R2 (Windows)
• Обзор пространств имен DFS и репликации DFS

Администраторы схемы

Члены группы администраторов схемы могут изменять схему Active Directory. Эта группа существует только в корневом домене леса доменов Active Directory. Эта группа является универсальной, если домен находится в основном режиме. Эта группа является глобальной, если домен находится в смешанном режиме.

Группе разрешено вносить изменения в схему Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

Любая из групп администраторов служб в корневом домене может изменить членство в этой группе. Эта группа считается учетной записью администратора службы, поскольку ее члены могут изменять схему, которая управляет структурой и содержимым всего каталога.

Дополнительные сведения см. в разделе Что такое схема Active Directory?

Группа администраторов схемы применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Атрибут	Значение
Общеизвестный SID/RID	S-1-5-21-<корневой домен>-518
Тип	Универсальный (если домен находится в собственном режиме), иначе глобальный
Контейнер по умолчанию	CN=Пользователи, DC=<домен>, DC=
Элементы по умолчанию	Администратор
Элемент по умолчанию	Отказано в репликации пароля RODC
Защищено AdminSDHolder?	Да
Безопасно ли перемещаться из контейнера по умолчанию?	Да
Безопасно делегировать управление этой группой необслуживающим администраторам?	№
Права пользователя по умолчанию	См. Отказ в репликации пароля RODC

Операторы сервера

Члены группы «Операторы сервера» могут администрировать контроллеры домена. Эта группа существует только на контроллерах домена. По умолчанию в группе нет участников. Члены группы «Операторы сервера» могут выполнять следующие действия: входить на сервер в интерактивном режиме, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и выключать сервер. компьютер. Эту группу нельзя переименовать, удалить или удалить.

По умолчанию в этой встроенной группе нет участников. Группа имеет доступ к параметрам конфигурации сервера на контроллерах домена. Его членство контролируется группами администраторов службы «Администраторы» и «Администраторы домена» в домене, а также группой «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членство в какой-либо административной группе. Эта группа считается учетной записью администратора службы, поскольку ее члены имеют физический доступ к контроллерам домена. Члены этой группы могут выполнять такие задачи обслуживания, как резервное копирование и восстановление, а также изменять двоичные файлы, установленные на контроллерах домена. См. права пользователя группы по умолчанию в следующей таблице.

Группа «Операторы сервера» применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы реплики хранилища

Члены группы администраторов реплики хранилища имеют полный и неограниченный доступ ко всем функциям реплики хранилища. Группа администраторов реплики хранилища применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Системные учетные записи

Членство в группе системных управляемых учетных записей управляется системой.

Группа системных управляемых учетных записей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Серверы лицензий серверов терминалов

Члены группы серверов лицензий серверов терминалов могут обновлять учетные записи пользователей в Active Directory, добавляя информацию о выдаче лицензий. Группа используется для отслеживания и создания отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS «на пользователя» дает одному пользователю право доступа к экземпляру сервера терминалов с неограниченного количества клиентских компьютеров или устройств. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения об этой группе безопасности см. в разделе Конфигурация группы безопасности сервера лицензий служб терминалов.

Группа серверов лицензий сервера терминалов применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи

Членам группы «Пользователи» запрещено вносить случайные или преднамеренные общесистемные изменения. Члены этой группы могут запускать большинство приложений. После первоначальной установки операционной системы единственным участником является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется в группу «Пользователи» на компьютере.

Пользователи могут выполнять такие задачи, как запуск приложения, использование локальных и сетевых принтеров, выключение компьютера и его блокировка. Пользователи могут устанавливать приложения, которые могут использовать только они, если программа установки приложения поддерживает установку для каждого пользователя. Эту группу нельзя переименовать, удалить или удалить.

Группа пользователей применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

• В Windows Server 2008 R2 Interactive был добавлен в список участников по умолчанию.

• В Windows Server 2012 список участников по умолчанию изменился с «Пользователи домена» на «Нет».

Доступ для авторизации Windows

Члены этой группы имеют доступ к атрибуту вычисляемого маркера GroupsGlobalAndUniversal в объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетной записи пользователя или в объектах учетной записи компьютера в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API ( функция ), которая считывает этот атрибут, завершается неудачно, если вызывающий контекст безопасности не имеет доступа к этому атрибуту. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа доступа для авторизации Windows применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

WinRMRemoteWMIUsers_

В Windows Server 2012 и Windows 8 вкладка Общий доступ была добавлена ​​в пользовательский интерфейс дополнительных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленной общей папки. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.

Группа WinRMRemoteWMIUsers_ применяется к операционной системе Windows Server в группах безопасности Active Directory по умолчанию.

• Если общий файловый ресурс размещен на сервере с поддерживаемой версией операционной системы:

• Если общий файловый ресурс размещен на сервере, на котором работает более ранняя версия Windows Server, чем Windows Server 2012:

В Windows Server 2012 функция помощи при отказе в доступе добавляет группу «Прошедшие проверку» в локальную группу WinRMRemoteWMIUsers__. Когда включена функция помощи при отказе в доступе, все прошедшие проверку подлинности пользователи, имеющие разрешения на чтение для общей папки, могут просматривать разрешения на общую папку.

Примечание

Группа WinRMRemoteWMIUsers__ позволяет удаленно запускать команды Windows PowerShell. Напротив, вы обычно используете группу пользователей удаленного управления, чтобы разрешить пользователям управлять серверами с помощью консоли диспетчера серверов.

См. также

• Принципы безопасности

• Специальные идентификационные группы

• Обзор контроля доступа

Когда несколько доменов могут помочь вашему бизнесу?