Адрес: 105678, г. Москва, Шоссе Энтузиастов, д. 55 (Карта проезда)
Время работы: ПН-ПТ: с 9.00 до 18.00, СБ: с 9.00 до 14.00

Группа безопасности 1: Группа безопасности консольная 1*3/4*1/2, Valtec цена 4 524 руб. в Новосибирске

Содержание

Группа безопасности консольная 1*3/4*1/2, Valtec цена 4 524 руб. в Новосибирске

Артикул VT.495.0.0
Базовая единица шт
Производитель Valtec
Сортировка по наличию 902
Преимущества Габариты группы безопасности позволяют подвешивать непосредственно к ней расширительный бак объемом до 50 л включительно.
Рекомендации по монтажу Консольная группа безопасности должна крепиться к стене двумя шурупами диаметром 5мм и длиной не менее 60мм.Сервисные приборы (воздухоотводчик, манометр, предохранительный клапан) должны находиться в строго вертикальном положении.
Расширительный бак рекомендуется подключать к корпусу группы безопасности через сгон отсекатель(не входит в комплект поставки), упрощающий его обслуживание и эксплуатацию. Если бак не подключается, требуется приобретения заглушки 3/4 с НР.
Диаметр присоединения группы (мм/дюйм) 20 (3/4″)
Диаметр присоединения расшир-го бака (мм/дюйм) 20
Диаметр присоединения манометра (мм/дюйм) 10
Диаметр присоединения пред. клапана (мм/дюйм) 15
Диаметр присоединения воздухоотводчика (мм/дюйм) 15
MAX мощность обслуживаемого котла 44 кВт
Тип изделия Стальная консольная
Тип присоединения Резьба
Среда применения Вода, пар, растворы гликолей (50%)
MAX t рабочей среды 120
Рабочее давление (бар) 10
Пробное давление (испытательное) (бар) 15
MIN рабочее давление (бар) 0,05
MAX производ. по воздуху (л/мин) 13
MAX производ. предохр. клапана по воде (л/мин) 0,07
Средний полный срок службы (лет) 15
Монтажное положение Вертикально
Страна ИТАЛИЯ
Назначение Защита от превышения давл., отвод из системы возд. и газов, индикация дав. в системе науровне маном
Завод изготовитель Китай
Материал корпуса Сталь Ст.3 оцинкованная
Цвет
Никелированный
Материал Латунь
Давление номинальное (бар) 10
t при номинальном давление 120
Среда применения ля автономных систем водяного отопления и ГВС мощностью до 44 КВт и давлением до 10 бар
Завод Италия-Россия-Китай

Группа безопасности, расширительние баки для отопления

Группа безопасности предназначена для обеспечения и контроля в системе отопления или горячего водоснабжения требуемого давления и сбросе его при выходе за максимальный предел.

Группа безопасности состоит из: предохранительного клапана, который сбрасывает часть воды (теплоносителя) при его избытке, воздухоотводчика, и манометра. Все эти элементы можно установить в системе как отдельно, так и в сборе в одном корпусе.

Предохранительный клапан (клапан избыточного давления) — представляет из себя вентиль, в котором закрывающий шток прижат пружиной. Жесткость пружины подбирают на заводе-изготовителе, настраивая клапан на определенное давление (1.5, 3, 6 бар или др.). Предохранительные клапаны необходимо монтировать во всех системах, где возможно расширение воды (теплоносителя) за счет нагрева. В доме такими системами являются — отопление и система горячего водоснабжения (бойлер косвенного нагрева или водонагреватель). В случае, если давление в системе поднимается выше, чем номинал предохранительного клапана — пружина клапана уже не сможет удерживать воду, она сожмется и откроет вентиль — происходит стравливание давления, а попросту сброс «лишнего» теплоносителя в боковой отвод клапана.

Для того чтобы не получить ожог при внезапном открытии клапана или не испортить ремонт в помещении, к боковому отводу прикручивают отводную трубу и направляют ее в канализацию или дренажную емкость.

Не стоит думать, что при срабатывании клапан избыточного давления сбрасывает много воды — в обычных частных домах, для того чтобы давление упало с 3 до 1 бар, необходимо сбросить около одного стакана воды, а иногда и меньше.

Для того, чтобы группа безопасности выпускала воздух из системы, необходимо ее устанавливать в верхней части труб, подходящих к котлу или бойлеру, то есть воздухоотводчик защищает котел или бойлер от завоздушивания. Защиту радиаторов или других верхних точек системы обеспечивают другие автовоздушники или краны Маевского.

Между котлом и группой безопасности нельзя устанавливать запорную арматуру!

При выборе группы безопасности котла — необходимо уточнить, на какую мощность она рассчитана. Для мощных котлов — в группе безопасности применяются предохранительные клапаны с большим проходным сечением (резьба на 3/4 или 1 дюйм).

Предохранительные клапаны подбирают на основании номинального рабочего давления в системе. Рассмотрим номинальные давления основных инженерных систем и необходимые предохранительные клапаны для них.

1 бар = 1,0197 кгс/см2 = 0,98692 атм.

  • Системы отопления с настенными газовыми котлами. Номинальное — 1,5-2.0 бар, предохранительный клапан — 3.0 бар.

  • Системы отопления с напольными газовыми котлами. Номинальное — 1.0-1.5 бар, предохранительный клапан — 3.0 бар

  • Системы отопления с твердотопливными котлами, печи со встроенными котлами. Номинальное — 0.5-1.0 бар, предохранительный клапан — 1.5 бар.

  • Системы горячего водоснабжения. Номинальное 2.0-4.0 бар, предохранительный клапан — 6.0 бар.

Группа безопасности котла Watts KSG 30 E (1″, 3 бар, до 50 кВт) 10005198

Артикул: 10005198
  • Изготовитель: Watts

Цена: 8793 руб

Доставка по г. Москве в пределах МКАД: 500 руб

РосТест. Гарантия низкой цены.

Группа безопасности Watts KSG 30 E защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.

Аналогичные товары

Описание

Группа безопасности котла для защиты закрытых систем отопления до 50 кВт. Включает в себя предохранительный клапан с порогом срабатывания 3 бара, автоматический воздухоотводчик (с запорным клапаном) MKV10R и манометр MHR6 3/4¬3/8″, установленные на стальной консоли (с гальваническим покрытием). Подключение 1″ внутренняя резьба.  Группа безопасности котла KSG 30/E применяется в закрытых системах водяного отопления мощностью до 50 кВт. В комплект входят предохранительный клапан, автоматический воздухоотводчик с запорным клапаном и манометр, смонтированные на консоли. Группа безопасности защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.

Группа безопасности котла KSG 30/E

— рабочая температура от -10°С до 110°С.
— подключение 1″, внутренняя резьба.
— материал консоли: оцинкованная сталь.
— предохранительный клапан 1/2″.
— давление срабатывания 3 бар.
— автоматический воздухоотводчик MV 10R.
— производительность по отводу газов — 18 л/мин.
— манометр с диапазоном показаний 0 — 4 бар.

Технические характеристики

Тип группы безопасности — для котлов

Теплоизоляция — есть

Материал изготовления- сталь

Диаметр подключения, дюйм — 1″

Габариты, м 0.22 x 0.197 x 0.06

Вес Брутто, кг — 1.31

Качество товара

Наша компания закупает продукцию у крупных проверенных поставщиков.

Мы рады предложить Вам качественный оригинальный товар!


«ГидроТепло» — официальный продавец арматуры для котельного и отопительного оборудования по бренду Watts

Группа безопасности котла до 50 кВт 1″ Uni-Fitt 253G4530

  • ОСНОВНЫЕ ХАРАКТЕРИСТИКИ
  • Производитель

    Uni-fitt

  • Артикул

    253G4530

  • Страна бренда

    Италия

  • Страна производства

    Италия

  • Гарантия

    3 года

  • Продукт

    группа безопасности

  • Вид

    для котла

  • Назначение

    отопление

  • Область применения

    бытовая, загородные дома

  • РАЗМЕРЫ, ОБЪЕМ И ВЕС
  • Высота

    142 мм

  • Ширина

    164 мм

  • Глубина

    49 мм

  • КОНСТРУКЦИЯ
  • Материал

    латунь

  • Покрытие

    без покрытия

  • Запорное устройство

    нет

  • Предохранительный клапан

    есть

  • Манометр

    есть

  • Воздухоотводчик

    есть

  • Обратный клапан

    нет

  • Подключение мембранного бака

    нет

  • Сбросная насадка

    нет (приобретается отдельно)

  • Материал мембраны клапана

    EPDM

  • Материал седла клапана

    нержавеющая сталь

  • ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ
  • Максимальная мощность

    50 кВт

  • Максимальное рабочее давление

    10 бар

  • Давление настройки предохранительного клапана

    3 бар

  • Диапазон измерения манометра

    0 — 4 бар

  • Максимальная температура теплоносителя

    -10…+80 °С

  • Рабочая среда

    вода, водный раствор гликолей (до 50%)

  • ПОДКЛЮЧЕНИЯ
  • Способ соединения

    муфтовый

  • Диаметр подключения к системе резьбовой

    1 «

  • Вид резьбы к системе

    внутренняя

  • Диаметр подключения к дренажу резьбовой

    3/4 «

  • Вид резьбы к дренажу

    внутренняя

  • Диаметр подключения предохранительного клапана

    1/2 «

  • Диаметр подключения манометра

    3/8 «

  • Диаметр подключения воздухоотводчика

    3/8 «

  • ФУНКЦИИ И ОСНАЩЕНИЕ
  • Теплоизоляция

    да (Полистирол)

  • Настройка сбросного давления

    нет

  • Принудительное открытие клапана

    да

  • ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
  • ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

    Изоляционный кожух (теплоизоляция) класс огнезащиты В2, без хлор фтор углеродов (фреонов).

  • Группа безопасности котла в изоляции (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр 0-4 бар + теплоизоляция), ВР 1″

    Купить Группа безопасности котла в изоляции (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр + теплоизоляция), ВР 1″ (FAR FA2116) Вы всегда можете в нашем интернет-магазине FAR-Moscow.ru. Что бы заказать оригинальный группа безопасности котла итальянского производителя FAR Rubinetterie S.p.a. — Вам необходимо либо позвонить нам по телефонам (499) 519-03-69, либо написать на [email protected] и мы всегда проконсультируем Вас по подбору итальянской арматуры FAR. Группа безопасности котла в изоляции (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр + теплоизоляция), ВР 1″ (артикул ФАР FA 2116) базово отгружается нами по РФ транспортной компанией СДЭК или Деловые Линии три раза в неделю. Доставка Вашего заказа по Москве и Московской области иожет быть осуществена курьером, по Вашему желанию в не зависимости от суммы заказа. Звоните нам по телефонам: (499) 519-03-69, 192-81-04 и наши специалисты по артматуре FAR ответят на все Ваши вопросы!
    Так же, Вы можете воспользоваться нашей формой обратной связи Консультация нашего специалиста!

    Уважаемые Пользователи!

    Убедительная просьба НЕ ОСУЩЕСТВЛЯТЬ каких-либо действий по оплате арматуры FAR, а также услуг по её доставке, до телефонного разговора со специалистом FAR-Moscow. ru в ходе которого будет окончательно определены артикул товара и срок поставки (в случае отсутствия на складе), а так же выбрана транспортная компания, которая будет осуществлять доставку и приблизительно определена стоимость услуг транспортной компании.


    Группа безопасности STIEBEL ELTRON ZH 1 (074370)

    Работаем в выходные Наши менеджеры готовы ответить на ваши вопросы с 11:00 до 19:00.

    Группа безопасности STIEBEL ELTRON ZH 1 (074370)

    33 500 ₽

    В корзину

    Купить


    Данный товар доступен в кредит ~3 266 ₽ на 12 месяцев от Тинькофф

    Нашли этот товар по цене ниже, но не уверены в его происхождении? Мы гарантируем качество товара в нашем интернет-магазине и предлагаем воспользоваться специальной программой.

    добавить к сравнению

         Используется с водонагревателями серий SHW, SHO, SB. Сбросной и обратный клапан. Максимально допустимое давление водопровода 4,8 Атм. Давление срабатывания 6 Атм.

    Рекомендуем посмотреть

    * бесплатная доставка осуществляется ограниченного числа позиций при электронной оплате на сайте, пожалуйста, уточняйте информацию о доставке у менеджеров
    ** является информационным сообщением, наличие свободных позиций на нашем складе необходимо дополнительно уточнять у менеджеров

    Официальный интернет-магазин Штибель Эльтрон предлагает скидку в размере разницы между ценой на аналогичную модель в другом интернет-магазине.

    Обратите внимание: в скидке может быть отказано по причине несоответствия интернет-страницы как и самого магазина условиям участия в данной программе.

    Отправить запрос

    Отмена

    Общие конфигурации групп безопасности — документация (10.3 и 10.3.1)

    В этом разделе

    Экземпляр Amazon Elastic Compute Cloud (EC2) может разрешать сетевой трафик только из источников и портов, определенных в его группе безопасности. При использовании Amazon EC2 вам необходимо настроить несколько групп безопасности, соответствующих типам действий, которые вы будете выполнять с вашими инстансами EC2. В этом разделе описываются некоторые распространенные группы безопасности, которые вы можете настроить для различных развертываний ArcGIS Server.

    По умолчанию группа безопасности полностью заблокирована. Вы добавляете правила в группу безопасности, определяя тип разрешенного трафика, порты, через которые он будет разрешен, и компьютеры, с которых будет приниматься связь. Порты, которые вы решите открыть, и тип трафика, который вам необходимо разрешить, зависят от того, что вы делаете с экземпляром.

    Ниже приведены предложения по именам групп безопасности и правилам, которые можно настроить в Консоли управления AWS. Разрешенные порты и протоколы могут различаться в зависимости от ИТ-политики вашей организации.В приведенных ниже предложениях используются наиболее распространенные номера портов. Если в вашей организации есть ИТ-специалист, рассмотрите возможность консультации с ним или с ней, чтобы разработать наилучшую стратегию безопасности для ваших инстансов EC2.

    Разработка ArcGIS Server

    Рассмотрите возможность создания группы безопасности специально для экземпляров EC2, которые используются в целях разработки и тестирования. Этот тип группы может разрешить следующий доступ:

    • RDP-доступ через порт 3389 для вашего IP-адреса или диапазона утвержденных IP-адресов в вашей организации (только для Windows) . Это позволяет вам управлять своим экземпляром EC2 через удаленный рабочий стол Windows. Вы должны использовать нотацию бесклассовой междоменной маршрутизации (CIDR), чтобы указать диапазон IP-адресов (или один IP-адрес), которые могут устанавливать соединения. Например, 0.0.0.0/0 позволяет всем подключаться, тогда как 92.23.32.51/32 позволяет подключаться только одному конкретному IP-адресу. Обратитесь к системному администратору, если вам нужна помощь в получении внешнего IP-адреса вашего локального компьютера.
    • TCP-доступ через порт 22 для вашего IP-адреса или диапазона утвержденных IP-адресов в вашей организации (только для Linux) .Открытие порта 22 позволяет вам работать с экземплярами Linux через SSH.
    • TCP-доступ через порт 6080 для всех (если не используется Elastic Load Balancer) или группы безопасности Elastic Load Balancer (если используется Elastic Load Balancer) . Порт 6080 используется для связи с ArcGIS Server. Если вы не размещаете Elastic Load Balancer перед своим сайтом, вам необходимо открыть порт 6080 для всех, кто будет использовать ваши веб-сервисы ArcGIS Server. Если вы используете Elastic Load Balancer, вам нужно открыть порт 6080 для группы безопасности Elastic Load Balancer (которую можно обнаружить через Консоль управления AWS и, скорее всего, это значение, такое как amazon-elb/amazon-elb-sg) .
    • Доступ с других машин в этой группе . Это необходимо для того, чтобы компьютеры ГИС-сервера могли взаимодействовать друг с другом. Это также облегчает обмен файлами. Вы можете добавить правило, разрешающее этот тип доступа, выбрав тип правила All ICMP, введя идентификатор группы безопасности (например, sg-xxxxxxxx) в поле Источник и нажав Добавить правило. При таком подходе машины в вашей группе могут взаимодействовать друг с другом через все порты и протоколы.

    ArcGIS Server Production

    После того, как вы разработали и протестировали свое приложение и готовы перенести его на производственный уровень, рекомендуется отключить доступ к удаленному рабочему столу. Если возникает проблема и вам необходимо войти в систему, вы можете временно изменить конфигурацию группы безопасности, чтобы разрешить себе доступ. Производственная группа ArcGIS Server может разрешить следующий доступ:

    • TCP-доступ через порт 6080 для всех (если не используется Elastic Load Balancer) или группе безопасности Elastic Load Balancer (если используется Elastic Load Balancer)
    • Доступ с других компьютеров в этой группе

    ArcGIS Server Production Secure

    Если вы хотите использовать зашифрованную связь с вашим компьютером, вы должны настроить Elastic Load Balancer на своем сайте, который получает трафик через порт 443, который обычно используется для зашифрованная связь через SSL.Затем настройте балансировщик нагрузки для перенаправления трафика на порт 6443. В вашей группе безопасности откройте описанные выше порты для ArcGIS Server Production.

    Многопользовательская база геоданных

    Если вы решите иметь многопользовательскую базу геоданных в экземпляре, отдельном от вашего экземпляра ArcGIS Server, вы можете настроить группу безопасности специально для вашего экземпляра многопользовательской базы геоданных, которая разрешает следующее:

    • TCP-доступ через порт 22 ( Linux) для вашего IP-адреса или диапазона утвержденных IP-адресов в вашей организации . Вам необходимо удаленно подключиться к вашему компьютеру хотя бы один раз, чтобы изменить пароли PostgreSQL по умолчанию.После этого вы можете удалить это правило удаленного доступа из группы безопасности, если хотите.
    • RDP-доступ через порт 3389 (Windows) Вы можете добавить это правило, если вам нужно удаленно подключиться к экземпляру SQL Server или SQL Server Express, например, чтобы добавить пользователей или дополнительные базы геоданных, а затем удалить его, когда закончите.
    • Доступ с компьютеров в группе безопасности вашего сервера ArcGIS Это позволяет вашим экземплярам, ​​на которых работает ArcGIS for Server, просматривать экземпляр вашей многопользовательской базы геоданных.Если компьютерам, не участвующим в ваших группах безопасности, необходимо подключиться к вашей базе геоданных, вам нужно явно открыть порт 5432, который разрешает связь с PostgreSQL.

    Обычно используемые порты

    Ниже приведены некоторые из наиболее распространенных портов, с которыми вы можете работать при создании групп безопасности. Некоторые из этих портов вам не нужно явно открывать; скорее, вы можете просто решить предоставить машинам в вашей группе безопасности полный доступ друг к другу. Если вы хотите разрешить доступ с компьютеров, не входящих в ваши группы безопасности (например, с вашей настольной рабочей станции в офисе), вам необходимо открыть определенные номера портов.

    80

    80

    1433

    1433

    Port

    HTTP-адрес доступа к веб-серверу IIS или BALANCER нагрузки

    443

    HTTPS Доступ к сети IIS Server или Balancer Server

    445

    3389

    Соединения к Windows Remote

    5432

    Подключение к PostgreSQL

    6080

    HTTP доступ к ArcGIS Server

    6443

    HTTPS доступ к ArcGIS Server

    Окна F Firewall включен на любом экземпляре, который вы запускаете с помощью предоставленных Esri AMI, в том числе на сайтах, которые вы создаете с помощью Cloud Builder. Если вы устанавливаете стороннее приложение, для которого требуются порты, отличные от перечисленных выше, убедитесь, что брандмауэр Windows также настроен на разрешение порта.


    Отзыв по этой теме?

    Лабораторная работа 4.2: Группы безопасности :: День погружения в сетевое взаимодействие

    1 Изменение группы безопасности для РАЗРЕШЕНИЯ только трафика ICMP от VPC C к VPC A

    Группы безопасности — это виртуальные брандмауэры с отслеживанием состояния, подключенные к экземпляру или сетевому интерфейсу.Как входящие, так и исходящие правила могут быть определены для разрешения определенных протоколов, портов и исходного/целевого CIDR. DENY невозможно с группами безопасности.

    При использовании групп безопасности все правила оцениваются до того, как сетевой пакет будет разрешен или заблокирован, в отличие от сетевых ACL, где правила оцениваются в порядке номеров правил, и после того, как правило совпадает, последующие правила не оцениваются.

    В этом упражнении мы изменим группу безопасности, прикрепленную к EC2 VPC A — AZ1, чтобы разрешить только входящий трафик ICMP только из CIDR VPC C.Мы проверим, что EC2 VPC C — AZ1 может пропинговать EC2 в VPC A — AZ1, а EC2 в VPC B — AZ1 не может пропинговать EC2 в VPC A — AZ1.

    Условие: отредактируйте сетевой ACL в подсети VPC A — AZ1, чтобы вернуть изменение к правилу 100, и установите для него разрешение ВСЕГО ТРАФИКА из всех источников (0.0.0.0/0), потому что мы хотим, чтобы весь трафик проходил мимо сетевого ACL к экземпляру в VPC A, чтобы протестировать группу безопасности на уровне экземпляра.

    После отмены изменения правила Network ACL должны выглядеть следующим образом:

    1. Перейти к панели мониторинга EC2 Чтобы начать работу, перейдите на панель инструментов EC2: https://console.aws.amazon.com/ec2

    2. В консоли EC2 перейдите к запущенным экземплярам.

    3. В списке экземпляров EC2 выберите «EC2 VPC A — AZ1» и щелкните группу безопасности в нижней части

    4. На странице «Группа безопасности» перейдите на вкладку «Правила для входящих подключений», а затем нажмите кнопку «Изменить правила для входящих подключений».

    5. На странице «Редактировать правила входящего трафика» во втором правиле, которое в настоящее время разрешает ICMP из любого источника, измените его, чтобы разрешить только из CIDR 10 VPC C.2.0.0/16 и нажмите «Сохранить правила». Теперь мы изменили группу безопасности на EC2 VPC A — AZ1, чтобы разрешить ICMP-трафик (ping-трафик) только от инстансов в VPC C и ниоткуда больше. Теперь мы проверим, чтобы убедиться, что мы НЕ можем пропинговать этот экземпляр из EC2 VPC B — AZ1, и мы СМОЖЕМ пропинговать от EC2 VPC C — AZ1.

    6. Вернитесь на панель мониторинга EC2 и на страницу «Запущенные экземпляры», следуя инструкциям, приведенным в шагах 1 и 2 выше.

    7. Выберите «EC2 VPC B — AZ1» из списка экземпляров и нажмите кнопку «Подключиться».

    8. В диалоговом окне «Подключиться к экземпляру» выберите параметр «Диспетчер сеансов» и нажмите «Подключиться».Это откроет сеанс в окне браузера.

    9. В командной строке EC2 VPC B — AZ1 попробуйте пропинговать частный IPv4-адрес EC2 VPC A — AZ1. Он зависнет и не продвинется. Это связано с тем, что группа безопасности на EC2 VPC A — AZ1 имеет только входящие правила ICMP, разрешающие VPC C. Правил для разрешения VPC B нет, и возникает неявный отказ. Введите «CTRL + C», чтобы остановить пинг.

      Аналогичным образом подключитесь к EC2 VPC C — AZ1 и попробуйте пропинговать EC2 VPC A — AZ1. Пинг пройдет успешно, и трафик пойдет.Это связано с тем, что SG на EC2 VPC A — AZ1 разрешает трафик ICMP из диапазона CIDR VPC C. Введите «CTRL + C», чтобы остановить пинг.

    2 Заключение

    Мы изменили группу безопасности на EC2 VPC A — AZ1, чтобы разрешить только ICMP-трафик от VPC C. Мы проверили и убедились, что не можем пропинговать этот экземпляр из VPC B, но можем пропинговать его из VPC C, подтверждая поведение Группа безопасности.

    Правило AWS Security Group Inbound чрезмерно разрешает весь трафик по всем протоколам (-1)

     

    ($.resource.aws_security_group существует и $. resource.aws_security_group.*.ingress[?any((cidr_blocks содержит 0.0.0.0/0 или ipv6_cidr_blocks содержит ::/0) и protocol ==-1)] существует) или ($.resource. aws_security_group_rule существует и $.resource.aws_security_group_rule.*[?any(type==ingress and (cidr_blocks содержит 0.0.0.0/0 или ipv6_cidr_blocks содержит ::/0 ) и protocol== -1)] существует)

    Рекомендуемое решение за запрет всего входящего трафика.

    Убедитесь, что группа безопасности не слишком разрешает разрешить весь входящий трафик.Убедитесь, что значение «cidr_blocks» не равно «0.0.0.0/0» или «::/0», когда для «протокола» установлено значение -1.

     

    "aws_security_group": [ { "<имя_группы_безопасности>": [ { "description": "Разрешить входящий трафик TLS", "вход": [ { "cidr_blocks": ["10.0.0.0/16"], "протокол": "-1" } ], "имя": "allow_tls", "vpc_id": "${aws_vpc. основной.id}" } ] } ]

    Рекомендация правила выполнения

    Прежде чем вносить какие-либо изменения, проверьте их влияние на ваши приложения/службы. Если группа безопасности сообщила, что действительно необходимо ограничить весь трафик, следуйте приведенным ниже инструкциям:

    1. Войдите в консоль AWS.

    2. Перейдите к сервису «VPC».

    3. Выберите «Группу безопасности», указанную в предупреждении.

    4. Нажмите «Правило для входящих подключений».

    5. Удалите правило со значением «Источник» 0.0.0.0/0 или ::/0 и значением «Тип» как Весь трафик.

     

    aws --region ${region} ec2 revoke-security-group-ingress --group-id ${resourceId} --ip-permissions '[{"IpProtocol": "${protocol}", "FromPort": ${fromPort}, "ToPort": ${toPort}, "IP${ipV4/6}Диапазоны":[{"CidrIp${ipV4/6}":"${cidr}"}]}]'

    Для этой команды CLI требуется разрешение ec2:RevokeSecurityGroupIngress. Успешное выполнение обновит группу безопасности, чтобы отменить записи правил входа, при этом все протоколы будут открыты для всего трафика либо по протоколу IPv4, либо по протоколу IPv6.

    Соответствие

    К этой политике применимо 7 стандартов:

    • Nist 800-53 Rev 5

    • Nist 800-53 Rev4

    • APRA (CPS 234) Информационная безопасность

    • MITER ATT и CK [Бета]

    • PIPEDA

    • CCPA 2018

    Заметки о группах безопасности (брандмауэр EC2) — GEOS-Chem в облаке

    В кратком руководстве я просил вас пропустить детали конфигурации EC2.Если вы не последовали моему слову и перепутали «Шаг 6: Настройка группы безопасности», у вас могут возникнуть проблемы с подключением ssh к вашему экземпляру EC2. (Неправильно настроенная группа безопасности должна быть наиболее распространенной причиной, по которой вы не можете ssh подключиться к вашему серверу. Другие возможные ситуации см. в разделе Устранение неполадок подключения EC2.)

    На шаге 6 по умолчанию будет создана новая «группа безопасности» с именем «launch-wizard-x»:

    «Группа безопасности» определяет, каким IP-адресам разрешен доступ к вашему серверу.Как вы уже видите в предупреждающем сообщении выше, текущая настройка позволяет разрешить подключение с любого IP-адреса (IP-номер «0.0.0.0/0» означает все IP-адреса, что эквивалентно выбору «Anywhere» в опции «Source» выше) , но только для типа подключения SSH (напомним, что «22» — это номер порта для SSH). Как правило, это нормально, так как вам также необходимо иметь пару ключей EC2 для доступа к этому серверу. Вы также можете установить «Источник» на «Мой IP», чтобы добавить еще один уровень безопасности (это означает, что ваш друг не сможет получить доступ к вашему серверу, даже если у него есть ваша пара ключей EC2).

    Однако, если вы напутали, скажем, выбрали группу безопасности «по умолчанию»:

    В этом случае под параметром «Источник» находится идентификатор самой группы безопасности по умолчанию. Это означает, что НИКАКИЕ внешние IP-адреса не могут подключаться к этому серверу, поэтому вы не сможете подключиться к нему по ssh со своего компьютера.

    Если вы уже облажались и запустили экземпляр EC2, щелкните правой кнопкой мыши свой экземпляр EC2 в консоли, выберите «Сеть» — «Изменить группы безопасности», чтобы назначить более разрешительную группу безопасности.

    Вы можете просмотреть существующие группы безопасности на странице «Группы безопасности» в консоли EC2:

    Если вы запустили несколько экземпляров EC2, точно следуя шагам, описанным в кратком руководстве, и всегда пропускали «Шаг 6. Настройка группы безопасности», вы увидите несколько групп безопасности с именами «launch-wizard-1», «launch-wizard- 2”… Они создаются автоматически каждый раз, когда вы запускаете новые инстансы EC2. У них абсолютно одинаковые настройки (разрешить SSH-подключение со всех IP-адресов), поэтому вам нужно оставить только одну (удалить остальные) и просто выбрать ее в «Шаг 6: Настройка группы безопасности» во время запуска инстанса EC2. Вы также можете изменить существующую группу безопасности, щелкнув ее правой кнопкой мыши и выбрав «Редактировать входящие правила».

    Это все, что вам нужно знать о группах безопасности. В отличие от локальных кластеров высокопроизводительных вычислений, которые могут обеспечить строгий контроль безопасности, облачные платформы открыты для всего мира и поэтому требуют сложных настроек безопасности для работы в различных ситуациях. Скажем, вы планируете получать доступ к серверу только со своего компьютера, или хотите открыть доступ для членов вашей группы, или даже открыть для более широкой публики? Эта сложность может немного сбить с толку новичков.

    групп безопасности Active Directory — безопасность Windows

    • Статья
    • 57 минут на чтение
    • 26 участников

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft. Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Относится к

    • Windows Server 2016 или более поздней версии
    • Windows 10 или более поздней версии

    В этом справочном разделе для ИТ-специалистов описываются группы безопасности Active Directory по умолчанию.

    В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров.Эти учетные записи представляют физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.

    В операционной системе Windows Server имеется несколько встроенных учетных записей и групп безопасности, предварительно настроенных с соответствующими правами и разрешениями для выполнения определенных задач. Для Active Directory существует два типа административных обязанностей:

    • Администраторы служб    Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

    • Администраторы данных    Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.

    О группах Active Directory

    Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, помогает упростить обслуживание и администрирование сети.

    В Active Directory есть два типа групп:

    Распределительные группы

    Группы рассылки можно использовать только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты коллекциям пользователей. Группы рассылки не защищены, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).

    Группы безопасности

    Группы безопасности могут предоставить эффективный способ назначения доступа к ресурсам в вашей сети. Используя группы безопасности, вы можете:

    • Назначьте права пользователей группам безопасности в Active Directory.

      Права пользователя назначаются группе безопасности для определения того, что члены этой группы могут делать в рамках домена или леса.Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.

      Например, пользователь, добавленный в группу операторов резервного копирования в Active Directory, имеет возможность создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Это возможно потому, что по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически назначаются группе Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.

      Вы можете использовать групповую политику, чтобы назначать права пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.

    • Назначение разрешений группам безопасности для ресурсов.

      Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например Полный доступ.Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».

      Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю.Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.

    Как и группы рассылки, группы безопасности можно использовать в качестве объекта электронной почты. Отправка сообщения электронной почты в группу отправляет сообщение всем членам группы.

    Область действия группы

    Группы характеризуются областью действия, определяющей степень применения группы в дереве доменов или лесу.Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три группы определяются Active Directory:

    .
    • Универсальный

    • Глобальный

    • Локальный домен

    Примечание

    В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.

    В следующей таблице перечислены три области групп и дополнительные сведения о каждой области для группы безопасности.

    Групповые прицелы

    Объем Возможные участники Преобразование прицела Может предоставлять разрешения Возможный член
    Универсальный Учетные записи из любого домена в том же лесу

    Глобальные группы из любого домена в том же лесу

    Другие универсальные группы из любого домена в том же лесу

    Можно преобразовать в локальную область домена

    , если группа не является членом каких-либо других универсальных групп

    Можно преобразовать в глобальную область, если группа не содержит других универсальных групп

    В любом домене в том же лесу или доверительных лесах Другие универсальные группы в том же лесу

    Домен

    Локальные группы в том же лесу или доверяющие леса

    Локальные группы на компьютерах в том же лесу или доверяющие леса

    Глобальный Аккаунты из того же домена

    Прочие глобальные группы из того же домена

    Можно преобразовать в универсальную область, если группа не является членом какой-либо другой глобальной группы В любом домене в том же лесу или доверенных доменах или лесах Универсальные группы из любого домена в том же лесу

    Прочие глобальные группы из того же домена

    Домен Локальные группы из любого домена в том же лесу или из любого доверяющего домена

    Локальный домен Учетные записи из любого домена или любого доверенного домена.

    Глобальные группы из любого домена или любого доверенного домена. из других лесов и из внешних доменов

    Можно преобразовать в универсальную область, если группа не содержит других локальных групп домена В пределах одного домена Другой домен Локальные группы из того же домена

    Локальные группы на компьютерах в том же домене, за исключением встроенных групп с хорошо известными SID

    Специальные идентификационные группы

    Специальные идентификаторы обычно называются группами.Специальные группы удостоверений не имеют конкретного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. К некоторым из этих групп относятся Creator Owner, Batch и Authenticated User.

    Информацию обо всех специальных группах удостоверений см. в разделе Особые удостоверения.

    Группы безопасности по умолчанию

    Группы по умолчанию, такие как группа администраторов домена, — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы для управления доступом к общим ресурсам и для делегирования определенных административных ролей на уровне домена.

    Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.

    Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.

    Группы по умолчанию расположены в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Контейнер Builtin включает в себя группы, определенные в области «Локальный домен». пользователей включает группы, которые определены с глобальной областью действия, и группы, которые определены с локальной областью домена. Вы можете перемещать группы, находящиеся в этих контейнерах, в другие группы или организационные единицы (OU) внутри домена, но не можете перемещать их в другие домены.

    Некоторые административные группы, перечисленные в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности одной из административных учетных записей или групп будет перезаписана защищенными параметрами.

    Дескриптор безопасности присутствует в объекте AdminSDHolder . Это означает, что если вы хотите изменить разрешения для одной из групп администраторов служб или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder , чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.

    Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы

    В следующих таблицах приведены описания групп по умолчанию, которые находятся в контейнерах Builtin и Users в каждой операционной системе.

    Операторы помощи в управлении доступом

    Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

    Группа операторов помощи в управлении доступом применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-579
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Операторы счетов

    Группа «Операторы учетных записей» предоставляет пользователю ограниченные права на создание учетных записей. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных и глобальных групп, а также могут локально входить в контроллеры домена.

    Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.

    Группа «Операторы учетных записей» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Примечание

    По умолчанию в этой встроенной группе нет участников, и она может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-548
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

    Администраторы

    Члены группы «Администраторы» имеют полный и неограниченный доступ к компьютеру или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.

    Группа администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Группа «Администраторы» имеет встроенные возможности, дающие ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.

    Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

    Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

    Разрешенная группа репликации паролей RODC

    Целью этой группы безопасности является управление политикой репликации паролей RODC. В этой группе по умолчанию нет членов, и это приводит к тому, что новые контроллеры домена только для чтения не кэшируют учетные данные пользователя. Группа запрещенной группы репликации паролей RODC содержит множество учетных записей с высокими привилегиями и групп безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».

    Группа Разрешенная репликация паролей RODC применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-571
    Тип Локальный домен
    Контейнер по умолчанию CN=Пользователи DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Операторы резервного копирования

    Члены группы «Операторы резервного копирования» могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, защищающих эти файлы. Операторы резервного копирования также могут входить в систему и выключать компьютер. Эту группу нельзя переименовать, удалить или переместить. По умолчанию в этой встроенной группе нет членов, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Его членство может быть изменено следующими группами: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия. Он не может изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять параметры сервера или конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена.По этой причине члены этой группы считаются администраторами службы.

    Группа операторов резервного копирования применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Служба сертификатов Доступ к DCOM

    Членам этой группы разрешено подключаться к центрам сертификации на предприятии.

    Группа доступа DCOM службы сертификатов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-32-<домен>-574
    Тип Локальный домен
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Издатели сертификатов

    Члены группы «Издатели сертификатов» имеют право публиковать сертификаты для объектов «Пользователь» в Active Directory.

    Группа издателей сертификатов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-517
    Тип Локальный домен
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Отказано в группе репликации пароля RODC
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Клонируемые контроллеры домена

    Члены группы Cloneable Domain Controllers, которые являются контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и Windows Server 2012 вы можете развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде вам больше не нужно повторно развертывать образ сервера, подготовленный с помощью sysprep.exe, повышать уровень сервера до контроллера домена, а затем выполнять дополнительные требования к настройке для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена). к этой группе безопасности).

    Дополнительные сведения см. в разделе Введение в виртуализацию доменных служб Active Directory (AD DS) (уровень 100).

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-522
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Криптографические операторы

    Члены этой группы имеют право выполнять криптографические операции. Эта группа безопасности была добавлена ​​в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

    Группа операторов шифрования применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности была представлена ​​в пакете обновления 1 для Windows Vista и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-569
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Отказано в группе репликации пароля RODC

    Члены группы запрещенной репликации паролей RODC не могут реплицировать свои пароли на любой контроллер домена, доступный только для чтения.

    Целью этой группы безопасности является управление политикой репликации паролей RODC. Эта группа содержит множество учетных записей с высокими привилегиями и групп безопасности. Группа запрещенной репликации паролей RODC заменяет разрешенную группу репликации паролей RODC.

    Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

    • Windows Server 2012 изменила элементы по умолчанию, включив в них издателей сертификатов.

    Владельцы устройств

    Эта группа в настоящее время не используется в Windows.

    Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, если в этой группе безопасности нет участников. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой группе.

    Группа владельцев устройств применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-583
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Можно вынести, но не рекомендуется
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

    Доступ к этому компьютеру из сети: SeNetworkLogonRight

    Обход проверки обхода: SeChangeNotifyPrivilege

    Изменение часового пояса: SeTimeZonePrivilege

    Распределенные пользователи COM

    Члены группы пользователей Distributed COM могут запускать, активировать и использовать объекты Distributed COM на компьютере. Microsoft Component Object Model (COM) — это независимая от платформы, распределенная, объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать. Модель распределенных компонентных объектов (DCOM) позволяет распределять приложения по местам, наиболее удобным для вас и для приложения. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа пользователей распределенных COM применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-562
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Днсупдатепрокси

    Члены группы DnsUpdateProxy являются DNS-клиентами. Им разрешено выполнять динамические обновления от имени других клиентов (например, серверов DHCP). DNS-сервер может создавать устаревшие записи ресурсов, если DHCP-сервер настроен на динамическую регистрацию записей ресурсов узла (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности смягчает этот сценарий.

    Однако для защиты от незащищенных записей или для разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, допускающих только защищенные динамические обновления, необходимо создать специальную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных этого учетная запись (имя пользователя, пароль и домен).Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

    Дополнительные сведения см. в разделе Владение записью DNS и группа DnsUpdateProxy.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>—<переменная RI>
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    DNS-администраторы

    Члены группы DNSAdmins имеют доступ к сетевой информации DNS. Разрешения по умолчанию следующие: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, специальные разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

    Дополнительные сведения о безопасности и DNS см. в разделе DNSSEC в Windows Server 2012.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>—<переменная RI>
    Тип Встроенный локальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Администраторы домена

    Члены группы безопасности «Администраторы домена» имеют право администрировать домен. По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена. Группа администраторов домена по умолчанию является владельцем любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».

    Группа администраторов домена контролирует доступ ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене.Членство может быть изменено членами групп администраторов службы в своем домене (администраторы и администраторы домена) и членами группы администраторов предприятия. Это считается учетной записью администратора службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

    Группа администраторов домена применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Компьютеры домена

    В эту группу могут входить все компьютеры и серверы, присоединенные к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

    Группа «Компьютеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-515
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Все компьютеры, присоединенные к домену, за исключением контроллеров домена
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да (но не обязательно)
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Контроллеры домена

    Группа контроллеров домена может включать все контроллеры домена в домене. Новые контроллеры домена автоматически добавляются в эту группу.

    Группа контроллеров домена применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-516
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Учетные записи компьютеров для всех контроллеров домена домена
    Элемент по умолчанию Отказано в группе репликации пароля RODC
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию?
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Гости домена

    Группа «Гости домена» включает встроенную гостевую учетную запись домена. Когда члены этой группы входят в систему в качестве локальных гостей на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

    Группа «Гости домена» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-514
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Гость
    Элемент по умолчанию Гостей
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Можно вынести, но не рекомендуется
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Посмотреть гостей

    Пользователи домена

    В группу «Пользователи домена» входят все учетные записи пользователей в домене. Когда вы создаете учетную запись пользователя в домене, она автоматически добавляется в эту группу.

    По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эта группа может использоваться для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе (или добавить группу «Пользователи домена» в локальную группу на сервере печати, имеющую разрешения для принтера).

    Группа пользователей домена применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-513
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Администратор
    крбтгт
    Элемент по умолчанию пользователей
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию См. пользователей

    Администраторы предприятия

    Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены.

    По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу администраторов в каждом домене леса и предоставляет полный доступ для настройки всех контроллеров домена.Члены этой группы могут изменять членство во всех административных группах. Членство может быть изменено только группами администраторов служб по умолчанию в корневом домене. Это считается учетной записью администратора службы.

    Группа администраторов предприятия применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Ключевые администраторы предприятия

    Члены этой группы могут выполнять административные действия над ключевыми объектами леса.

    Группа Enterprise Key Admins появилась в Windows Server 2016.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-527
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Корпоративные контроллеры домена только для чтения

    Члены этой группы являются контроллерами домена только для чтения на предприятии. За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, которые содержит контроллер домена с возможностью записи. Однако нельзя вносить изменения в базу данных, хранящуюся на контроллере домена только для чтения. Изменения должны быть сделаны на контроллере домена с возможностью записи, а затем реплицированы на контроллер домена только для чтения.

    Контроллеры домена только для чтения решают некоторые проблемы, которые обычно встречаются в филиалах. В этих расположениях может отсутствовать контроллер домена.Или у них может быть контроллер домена с возможностью записи, но нет физической безопасности, пропускной способности сети или местного опыта для его поддержки.

    Дополнительные сведения см. в разделе Что такое RODC?.

    Группа корпоративных контроллеров домена только для чтения применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<корневой домен>-498
    Тип Универсальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию?
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Читатели журнала событий

    Члены этой группы могут читать журналы событий с локальных компьютеров.Группа создается, когда сервер повышается до контроллера домена.

    Группа чтения журнала событий применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-573
    Тип Локальный домен
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Владельцы создателей групповой политики

    Эта группа имеет право создавать, редактировать или удалять объекты групповой политики в домене. По умолчанию единственным членом группы является администратор.

    Сведения о других функциях, которые можно использовать с этой группой безопасности, см. в разделе Обзор групповой политики.

    Группа владельцев-создателей групповой политики применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-520
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Администратор
    Элемент по умолчанию Отказано в группе репликации пароля RODC
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию?
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию См. Отказано в группе репликации пароля RODC

    Гости

    Члены группы «Гости» по умолчанию имеют такой же доступ, как и члены группы «Пользователи», за исключением того, что учетная запись «Гость» имеет дополнительные ограничения.По умолчанию единственным участником является гостевая учетная запись. Группа «Гости» позволяет случайным или разовым пользователям входить с ограниченными правами во встроенную гостевую учетную запись компьютера.

    Когда член группы «Гости» выходит из системы, весь профиль удаляется. Это включает в себя все, что хранится в каталоге %userprofile% , включая информацию куста реестра пользователя, пользовательские значки на рабочем столе и другие пользовательские настройки. Это означает, что гость должен использовать временный профиль для входа в систему.Эта группа безопасности взаимодействует с параметром групповой политики Не входить в систему пользователей с временными профилями , когда он включен. Этот параметр находится по следующему пути:

    .

    Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей

    Примечание

    Учетная запись «Гость» по умолчанию является членом группы безопасности «Гости». Люди, у которых нет фактической учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, чья учетная запись отключена (но не удалена), также может использовать гостевую учетную запись.

    Для гостевой учетной записи пароль не требуется. Вы можете установить права и разрешения для гостевой учетной записи, как и для любой учетной записи пользователя. По умолчанию учетная запись «Гость» является членом встроенной группы «Гости» и глобальной группы «Гости домена», которая позволяет пользователю входить в домен. Учетная запись гостя отключена по умолчанию, и мы рекомендуем оставить ее отключенной.

    Группа «Гости» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-546
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию гостей домена
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Администраторы Hyper-V

    Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V. Добавление участников в эту группу помогает уменьшить количество членов, необходимых в группе администраторов, и еще больше разделяет доступ.

    Примечание

    До Windows Server 2012 доступ к функциям в Hyper-V частично контролировался членством в группе администраторов.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-578
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    ИИС_ИУСРС

    IIS_IUSRS — это встроенная группа, которая используется информационными службами Интернета, начиная с IIS 7. 0. Операционная система гарантирует, что встроенная учетная запись и группа всегда будут иметь уникальный SID. IIS 7.0 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой операционной системы Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

    Дополнительные сведения см. в разделе Общие сведения о встроенных учетных записях пользователей и групп в IIS 7.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-568
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию ИУС
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию?
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Входящие строители Forest Trust

    Члены группы Incoming Forest Trust Builders могут создавать входящие односторонние отношения доверия с этим лесом. Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменом и лесом. Прежде чем аутентификация может выполняться через доверительные отношения, Windows должна определить, имеет ли домен, запрошенный пользователем, компьютером или службой, доверительные отношения с доменом входа в запрашивающую учетную запись.

    Для этого система безопасности Windows вычисляет доверительный путь между контроллером домена для сервера, который получает запрос, и контроллером домена в домене запрашивающей учетной записи.Защищенный канал распространяется на другие домены Active Directory через отношения доверия между доменами. Этот защищенный канал используется для получения и проверки информации о безопасности, включая идентификаторы безопасности (SID) для пользователей и групп.

    Примечание

    Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Дополнительные сведения см. в разделе Как работают доверительные отношения доменов и лесов: Доверия доменов и лесов.

    Группа Incoming Forest Trust Builders применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Эту группу нельзя переименовать, удалить или переместить.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-557
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Ключевые администраторы

    Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.

    Группа ключевых администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-526
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Операторы конфигурации сети

    Члены группы операторов конфигурации сети могут иметь следующие административные привилегии для управления конфигурацией сетевых функций:

    • Измените свойства протокола управления передачей/протокола Интернета (TCP/IP) для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

    • Переименуйте соединения локальной сети или соединения удаленного доступа, доступные всем пользователям.

    • Включение или отключение подключения по локальной сети.

    • Изменить свойства всех подключений удаленного доступа пользователей.

    • Удалить все подключения удаленного доступа пользователей.

    • Переименуйте все подключения удаленного доступа пользователей.

    • Выпуск ipconfig , ipconfig /release или ipconfig /renew команд.

    • Введите ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

    Примечание

    Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа операторов конфигурации сети применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Эту группу нельзя переименовать, удалить или переместить.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-556
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Пользователи журнала производительности

    Члены группы пользователей журнала производительности могут управлять счетчиками производительности, журналами и оповещениями локально на сервере и с удаленных клиентов, не будучи членом группы администраторов. В частности, члены этой группы безопасности:

    • Можно использовать все функции, доступные группе пользователей системного монитора.

    • Может создавать и изменять наборы сборщиков данных после того, как группе назначено право пользователя «Вход в качестве пакетного задания».

      Предупреждение

      Если вы являетесь членом группы пользователей журнала производительности, вы должны настроить группы сборщиков данных, которые вы создаете, для запуска под вашими учетными данными.

      Примечание

      В Windows Server 2016 или более поздней версии группы сборщиков данных не могут быть созданы членом группы пользователей журнала производительности.Если член группы «Пользователи журнала производительности» попытается создать группы сборщиков данных, он не сможет завершить создание, так как доступ будет запрещен.

    • Не удается использовать поставщик событий трассировки ядра Windows в группах сборщиков данных.

    Чтобы члены группы «Пользователи журнала производительности» могли инициировать регистрацию данных или изменять наборы сборщиков данных, группе необходимо сначала назначить право «Вход в качестве пользователя пакетного задания». Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Microsoft.

    Примечание

    Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа пользователей журнала производительности относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Эту учетную запись нельзя переименовать, удалить или переместить.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-559
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Войдите в систему как пакетное задание: SeBatchLogonRight

    Пользователи системного монитора

    Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не будучи членами групп «Администраторы» или «Пользователи журнала производительности». Монитор производительности Windows — это оснастка консоли управления (MMC), предоставляющая инструменты для анализа производительности системы. С единой консоли вы можете отслеживать производительность приложений и оборудования, настраивать данные, которые вы хотите собирать в журналах, определять пороговые значения для предупреждений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

    В частности, члены этой группы безопасности:

    • Может использовать все функции, доступные группе пользователей.

    • Может просматривать данные о производительности в режиме реального времени в системном мониторе.

      Можно изменить свойства отображения монитора производительности при просмотре данных.

    • Не удается создать или изменить наборы сборщиков данных.

      Предупреждение

      Нельзя настроить группу сборщиков данных для работы в качестве члена группы пользователей системного монитора.

    Примечание

    Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).Эту группу нельзя переименовать, удалить или переместить.

    Группа пользователей системного монитора относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-558
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Доступ, совместимый с пред-Windows 2000

    Члены группы Pre-Windows 2000 Compatible Access имеют доступ на чтение для всех пользователей и групп в домене. Эта группа предназначена для обратной совместимости с компьютерами под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений «Все» является членом этой группы. Добавляйте пользователей в эту группу, только если они работают под управлением Windows NT 4.0 или более ранней версии.

    Предупреждение

    Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа доступа, совместимая с пред-Windows 2000, применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-554
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Если вы выберете режим разрешений, совместимых с версиями до Windows 2000, участниками станут все и анонимные пользователи, а если вы выберете режим разрешений только для Windows 2000, участниками станут прошедшие проверку пользователи.
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Доступ к этому компьютеру из сети: SeNetworkLogonRight

    Обход проверки обхода: SeChangeNotifyPrivilege

    Операторы печати

    Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене.Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить и отключать контроллеры домена в домене.

    В этой группе нет участников по умолчанию. Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или переместить.

    Группа «Операторы печати» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности не менялась со времен Windows Server 2008. Однако в Windows Server 2008 R2 были добавлены функции для управления администрированием печати. Дополнительные сведения см. в разделе Назначение делегированного администратора печати и настройки разрешений принтера в Windows Server 2012.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-550
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

    Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege

    Завершение работы системы: SeShutdownPrivilege

    Защищенные пользователи

    Членам группы защищенных пользователей предоставляется дополнительная защита от компрометации учетных данных во время процессов аутентификации.

    Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. Члены этой группы автоматически применяют ненастраиваемую защиту к своим учетным записям. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно безопасным. Единственный способ изменить защиту учетной записи — удалить учетную запись из группы безопасности.

    Эта глобальная группа, связанная с доменом, запускает ненастраиваемую защиту на устройствах и хост-компьютерах, начиная с Windows Server 2012 R2 и Windows 8.1 операционные системы. Он также запускает ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2012 R2 или Windows Server 2016. Это значительно сокращает объем памяти, занимаемой учетными данными, когда пользователи входят на компьютеры в сети с незащищенного компьютера. .

    В зависимости от функционального уровня домена учетной записи члены группы «Защищенные пользователи» получают дополнительную защиту благодаря изменениям поведения в методах проверки подлинности, поддерживаемых в Windows.

    • Члены группы защищенных пользователей не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSP): NTLM, краткая проверка подлинности или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 8.1 или Windows 10, поэтому устройство не может пройти проверку подлинности в домене, если учетная запись является членом группы защищенных пользователей.

    • Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Это означает, что домен должен быть настроен для поддержки хотя бы набора шифров AES.

    • Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Это означает, что прежние подключения к другим системам могут завершиться неудачно, если пользователь является членом группы защищенных пользователей.

    • Значение срока действия билетов на выдачу билетов (TGT) Kerberos по умолчанию, равное четырем часам, можно настроить с помощью политик аутентификации и бункеров, доступ к которым можно получить через административный центр Active Directory. Это означает, что по прошествии четырех часов пользователь должен снова пройти аутентификацию.

    Группа защищенных пользователей относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о работе этой группы см. в разделе Группа безопасности защищенных пользователей.

    В следующей таблице указаны свойства группы защищенных пользователей.

    Атрибут Значение
    Известный SID/RID S-1-5-21-<домен>-525
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой необслуживающим администраторам?
    Права пользователя по умолчанию Нет

    Серверы RAS и IAS

    Компьютеры, входящие в группу серверов RAS и IAS, при правильной настройке могут использовать службы удаленного доступа. По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически, например серверы IAS и серверы политики сети. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», «Чтение информации о входе в систему» ​​и «Чтение информации об удаленном доступе».

    Группа серверов RAS и IAS применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-553
    Тип Встроенный локальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Конечные серверы RDS

    Серверы, входящие в группу RDS Endpoint Servers, могут запускать виртуальные машины и размещать сеансы, в которых выполняются пользовательские программы RemoteApp и персональные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах, на которых работает посредник подключений к удаленному рабочему столу. Серверы узлов сеансов и серверы узлов виртуализации удаленных рабочих столов, используемые в развертывании, должны входить в эту группу.

    Сведения о службах удаленных рабочих столов см. в разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-576
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Серверы управления RDS

    Серверы, входящие в группу серверов управления RDS, можно использовать для выполнения обычных административных действий на серверах, на которых запущены службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. В эту группу должны быть включены серверы, на которых запущена служба RDS Central Management.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-577
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Серверы удаленного доступа RDS

    Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и личным виртуальным рабочим столам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых работает посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются в развертывании, должны быть в этой группе.

    Дополнительные сведения см. в разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-575
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Контроллеры домена только для чтения

    Эта группа состоит из контроллеров домена только для чтения в домене. Контроллер домена только для чтения позволяет организациям легко развернуть контроллер домена в сценариях, где невозможно гарантировать физическую безопасность, например, в филиалах, или в сценариях, где локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или в роли, обращенной к приложению.

    Поскольку администрирование контроллера домена только для чтения может быть делегировано пользователю домена или группе безопасности, контроллер домена только для чтения хорошо подходит для сайта, на котором не должно быть пользователя, являющегося членом группы администраторов домена.Контроллер домена только для чтения включает в себя следующие функции:

    • Доступная только для чтения база данных AD DS

    • Однонаправленная репликация

    • Кэширование учетных данных

    • Разделение роли администратора

    • Система доменных имен (DNS) только для чтения

    Сведения о развертывании контроллера домена только для чтения см. в разделе Общие сведения о планировании и развертывании контроллеров домена только для чтения.

    Эта группа безопасности была введена в Windows Server 2008 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>-521
    Тип Глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Отказано в группе репликации пароля RODC
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию См. Отказано в группе репликации пароля RODC

    Пользователи удаленного рабочего стола

    Группа пользователей удаленного рабочего стола на сервере узла сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешений на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или переместить. Он отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа пользователей удаленного рабочего стола применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-555
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Пользователи удаленного управления

    Члены группы пользователей удаленного управления могут получать доступ к ресурсам WMI по протоколам управления (например, WS-Management через службу удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю.

    Группа пользователей удаленного управления обычно используется для предоставления пользователям возможности управлять серверами через консоль диспетчера серверов, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно выполнять команды Windows PowerShell.

    Дополнительные сведения см. в разделе Что нового в MI? и О WMI.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-580
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Репликатор

    Компьютеры, входящие в группу репликаторов, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся на системном томе (SYSVOL). Каждый контроллер домена хранит копию SYSVOL для доступа сетевых клиентов. FRS также может реплицировать данные для распределенной файловой системы (DFS), синхронизируя содержимое каждого члена в наборе реплик, как это определено DFS. Служба FRS может одновременно копировать и поддерживать общие файлы и папки на нескольких серверах. Когда происходят изменения, контент немедленно синхронизируется внутри сайтов и по расписанию между сайтами.

    Предупреждение

    В Windows Server 2008 R2 FRS нельзя использовать для репликации папок DFS или пользовательских (не SYSVOL) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса SYSVOL в домене, который использует FRS для репликации общего ресурса SYSVOL между контроллерами домена.

    Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса SYSVOL. Служба репликации DFS является заменой FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других пользовательских (не SYSVOL) данных. Все наборы реплик FRS, отличные от SYSVOL, следует перенести в репликацию DFS. Для получения дополнительной информации см.:

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-552
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Администраторы схемы

    Члены группы администраторов схемы могут изменять схему Active Directory. Эта группа существует только в корневом домене леса доменов Active Directory. Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме.

    Группе разрешено вносить изменения в схему Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

    Членство в этой группе может быть изменено любой из групп администраторов служб в корневом домене.Это считается учетной записью администратора службы, поскольку ее члены могут изменять схему, которая управляет структурой и содержимым всего каталога.

    Дополнительные сведения см. в разделе Что такое схема Active Directory?: Active Directory.

    Группа администраторов схемы применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<корневой домен>-518
    Тип Универсальный (если домен находится в собственном режиме), иначе глобальный
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Администратор
    Элемент по умолчанию Отказано в группе репликации пароля RODC
    Защищено ADMINSDHOLDER? Да
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию См. запрещенную группу репликации пароля RODC

    Операторы серверов

    Члены группы «Операторы сервера» могут администрировать контроллеры домена. Эта группа существует только на контроллерах домена. По умолчанию в группе нет участников. Члены группы «Операторы сервера» могут входить на сервер в интерактивном режиме, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и выключать компьютер. Эту группу нельзя переименовать, удалить или переместить.

    По умолчанию эта встроенная группа не имеет членов и имеет доступ к параметрам конфигурации сервера на контроллерах домена.Его членство контролируется группами администраторов службы «Администраторы» и «Администраторы домена» в домене, а также группой «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членство в какой-либо административной группе. Это считается учетной записью администратора службы, поскольку ее члены имеют физический доступ к контроллерам домена, они могут выполнять задачи обслуживания (например, резервное копирование и восстановление) и имеют возможность изменять двоичные файлы, установленные на контроллерах домена. Обратите внимание на права пользователя по умолчанию в следующей таблице.

    Группа «Операторы сервера» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Администраторы реплики хранилища

    Члены этой группы имеют полный и неограниченный доступ ко всем функциям реплики хранилища.

    Группа администраторов реплики хранилища применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-582
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Группа системных управляемых счетов

    Члены этой группы управляются системой.

    Группа системных управляемых учетных записей применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-581
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию пользователей
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Серверы лицензий серверов терминалов

    Члены группы серверов лицензий серверов терминалов могут обновлять учетные записи пользователей в Active Directory, добавляя информацию о выдаче лицензии. Это используется для отслеживания и создания отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS на пользователя дает одному пользователю право доступа к серверу терминалов с неограниченного количества клиентских компьютеров или устройств. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Дополнительные сведения об этой группе безопасности см. в разделе Конфигурация группы безопасности сервера лицензий служб терминалов.

    Группа серверов лицензий сервера терминалов применяется к версиям операционной системы Windows Server, указанной в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Эту группу нельзя переименовать, удалить или переместить.

    Эта группа безопасности применяется только к Windows Server 2003 и Windows Server 2008, поскольку службы терминалов были заменены службами удаленных рабочих столов в Windows Server 2008 R2.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-561
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Защищено ADMINSDHOLDER?
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    Пользователи

    Членам группы «Пользователи» запрещено вносить случайные или преднамеренные общесистемные изменения, и они могут запускать большинство приложений.После первоначальной установки операционной системы единственным участником является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется в группу «Пользователи» на компьютере.

    Пользователи могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение и блокировка компьютера. Пользователи могут устанавливать приложения, которые разрешено использовать только им, если программа установки приложения поддерживает установку для каждого пользователя.Эту группу нельзя переименовать, удалить или переместить.

    Группа «Пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

    Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

    • В Windows Server 2008 R2 INTERACTIVE был добавлен в список участников по умолчанию.

    • В Windows Server 2012 список по умолчанию Member Of изменился с «Пользователи домена» на «Нет».

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-545
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Аутентифицированные пользователи

    Пользователи домена

    ИНТЕРАКТИВНЫЕ

    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    Группа доступа авторизации Windows

    Члены этой группы имеют доступ к вычисляемому атрибуту токена GroupsGlobalAndUniversal в объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователей или объектов учетных записей компьютеров в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API (называемый функцией), который считывает этот атрибут, не завершаются успешно, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известная как гибкие операции с одним хозяином или FSMO).

    Группа авторизации Windows применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    Примечание

    Эту группу нельзя переименовать, удалить или переместить.

    Эта группа безопасности не менялась со времен Windows Server 2008.

    Атрибут Значение
    Общеизвестный SID/RID С-1-5-32-560
    Тип Встроенный локальный
    Контейнер по умолчанию CN = Встроенный, DC = <домен>, DC =
    Элементы по умолчанию Контроллеры корпоративного домена
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Невозможно переместить
    Безопасно делегировать управление этой группой администраторам, не работающим в службе? Да
    Права пользователя по умолчанию Нет

    WinRMRemoteWMIUsers_

    В Windows 8 и Windows Server 2012 вкладка Share была добавлена ​​в пользовательский интерфейс дополнительных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленной общей папки. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.

    Группа WinRMRemoteWMIUsers_ применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

    • Если общий файловый ресурс размещен на сервере с поддерживаемой версией операционной системы:

    • Если общий файловый ресурс размещен на сервере с более ранней версией Windows Server, чем Windows Server 2012:

    В Windows Server 2012 функция помощи при отказе в доступе добавляет группу «Прошедшие проверку» в локальную группу WinRMRemoteWMIUsers__.Таким образом, когда функция помощи при отказе в доступе включена, все прошедшие проверку подлинности пользователи, имеющие разрешения на чтение к общему файловому ресурсу, могут просматривать разрешения общего доступа к файлам.

    Примечание

    Группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды Windows PowerShell, в то время как группа пользователей удаленного управления обычно используется для предоставления пользователям возможности управлять серверами с помощью консоли диспетчера серверов.

    Эта группа безопасности была введена в Windows Server 2012 и не менялась в последующих версиях.

    Атрибут Значение
    Общеизвестный SID/RID S-1-5-21-<домен>—<переменная RI>
    Тип Локальный домен
    Контейнер по умолчанию CN=Пользователи, DC=<домен>, DC=
    Элементы по умолчанию Нет
    Элемент по умолчанию Нет
    Защищено ADMINSDHOLDER?
    Безопасно ли перемещаться из контейнера по умолчанию? Да
    Безопасно делегировать управление этой группой администраторам, не работающим в службе?
    Права пользователя по умолчанию Нет

    См.

    также

    Примеры групп безопасности в AWS CDK — Полное руководство и из наших инстансов EC2.

    Они позволяют нам определять входящие и исходящие правила. Входящий трафик — это трафик который поступает в инстанс EC2, тогда как исходящий трафик — это трафик, который идет из экземпляра EC2.

    По умолчанию группы безопасности, подготовленные с помощью CDK, разрешают все исходящие (исходящие) трафика и запретить весь входящий (входящий) трафик.

    В этой статье мы рассмотрим несколько примеров создания безопасности группы и редактирование их входящих и исходящих правил.

    Код для этой статьи доступен на GitHub

    Начнем с создания VPC и группы безопасности для веб-сервера:

      import * as ec2 from '@aws-cdk/aws-ec2';
    импортировать * как cdk из '@aws-cdk/core';
    
    класс экспорта CdkStarterStack расширяет cdk.Куча {
      конструктор (область: cdk.App, идентификатор: строка, реквизит?: cdk.StackProps) {
        супер(область, идентификатор, реквизит);
    
        const vpc = новый ec2. Vpc(это, 'my-cdk-vpc', {
          сидр: '10.0.0.0/16',
          натшлюзы: 0,
          максазс: 3,
          конфигурация подсети: [
            {
              имя: 'общедоступная подсеть-1',
              тип подсети: ec2.SubnetType.PUBLIC,
              cidrMask: 24,
            },
          ],
        });
    
        
        const webserverSG = new ec2.SecurityGroup(this, 'web-server-sg', {
          вкк,
          разрешитьAllOutbound: правда,
          описание: 'группа безопасности для веб-сервера',
        });
    
        веб-серверSG.добавитьIngressRule(
          ec2.Peer.anyIpv4(),
          ec2.Port.tcp(22),
          'разрешить доступ по SSH из любого места',
        );
    
        webserverSG.addIngressRule(
          ec2.Peer.anyIpv4(),
          ec2.Порт.tcp(80),
          'разрешить HTTP-трафик откуда угодно',
        );
    
        webserverSG.addIngressRule(
          ec2.Peer.anyIpv4(),
          ec2.Port.tcp(443),
          'разрешить HTTPS-трафик откуда угодно',
        );
    
        webserverSG.addIngressRule(
          ec2.Peer.ipv4('123.123.123.123/16'),
          ec2.Порт.allIcmp(),
          «разрешить ICMP-трафик с определенного диапазона IP-адресов»,
        );
      }
    }
      

    Давайте рассмотрим, что мы сделали во фрагменте кода.

    1. мы создали VPC, создав и настроив Vpc класса . Мы установили реквизит natGateways на 0 , чтобы не взимать плату без необходимости.

      Если вы хотите узнать больше о создании VPC, я написал еще одну статью на создание VPC в CDK.

    2. мы создали группу безопасности для веб-сервера. Реквизит, который мы прошли, когда создание экземпляра SecurityGroup класс:

    • vpc — VPC, группа безопасности будет создана в
    • allowAllOutbound должна ли группа безопасности разрешать все исходящие трафик .По умолчанию allowAllOutbound имеет значение true
    • описание — краткое описание группы безопасности
    1. Для разрешения входящего трафика мы использовали addIngressRule метод для экземпляра класса SecurityGroup . Параметры, которые мы
      передали методу:
    • одноранговый узел Источник в правиле входящего трафика группы безопасности группа безопасности входящая Правило
    • Описание — Краткое описание правила группы безопасности
      9 — это входящие правила, которые мы добавили в нашу группу безопасности:
    тип

    HTTPS

    7 Все ICMP

    Порт Source
    SSH TCP 22 0. 0.0.0 / 0
    HTTP TCP 80 90 0.0.0.0/0

    TCP 443 7 0.0.0.0.0/0
    ICMP ВСЕ 123.123.0.0/16

    Давайте подготовим VPC и группу безопасности, мы можем увидеть, что ресурсы развернуты:

    применены групповые правила:

    Исходящие правила разрешают весь трафик, потому что мы установили allowAllOutbound на true , что также является значением по умолчанию:

    Добавим еще 2 группы безопасности — 1 для внутреннего сервера и 1 для сервер базы данных.

    Группа безопасности внутреннего сервера разрешает запросы только на порт 8000 , созданный из экземпляров группы безопасности webserverSG .

    В то время как группа безопасности для сервера базы данных будет разрешать запросы только на порт 3306 , созданный из экземпляров в группе безопасности backendServerSG .

    Код для этой статьи доступен на GitHub
      import * as ec2 from '@aws-cdk/aws-ec2';
    импортировать * как cdk из '@aws-cdk/core';
    
    класс экспорта CdkStarterStack расширяет cdk.Куча {
      конструктор (область: cdk.App, идентификатор: строка, реквизит?: cdk.StackProps) {
        супер(область, идентификатор, реквизит);
    
        
    
        
        const backendServerSG = new ec2.SecurityGroup(this, 'backend-server-sg', {
          вкк,
          разрешитьAllOutbound: правда,
          описание: 'группа безопасности для внутреннего сервера',
        });
        backendServerSG.connections.allowFrom(
          новый ec2.Connections({
            группы безопасности: [webserverSG],
          }),
          ec2.Port.tcp(8000),
          'разрешить трафик через порт 8000 из группы безопасности веб-сервера',
        );
    
        
        const dbserverSG = новый ec2.SecurityGroup(это, 'база данных-сервер-sg', {
          вкк,
          разрешитьAllOutbound: правда,
          описание: 'группа безопасности для сервера баз данных',
        });
    
        dbserverSG.connections. allowFrom(
          новый ec2.Connections({
            группы безопасности: [backendServerSG],
          }),
          ec2.Port.tcp(3306),
          'разрешить трафик через порт 3306 из группы безопасности внутреннего сервера',
        );
      }
    }
      

    Давайте рассмотрим, что мы сделали во фрагменте кода.

    1. мы создали группу безопасности внутреннего сервера
    2. мы использовали разрешитьот метод на экземпляре Соединения класс, чтобы разрешить входящие подключения на порт 8000 от экземпляров в веб-серверSG группа безопасности .Метод allowFrom принимает следующие 3 props:
    • connectable — объект, который имеет параметры подключения, в нашем случае ценная бумага Группа

    • Соединение Порт , Протокол и Тип в Группе безопасности


    7 Описание — Краткое описание правила группы безопасности

    1. Мы создали группу безопасности сервера базы данных и использовал метод allowFrom Чтобы разрешить трафик на порте 3306 из группы безопасности Backeng Server

    9

    9022

    Protocol Port Source
    Пользовательские TCP TCP 8000 webserverSG-ID

    входящие правила dbserverSG выглядеть так:

    исходящий трафик по-прежнему разрешен.

    мы будем редактировать исходящие правила группы безопасности далее в статье.

    Давайте запустим команду deploy :

    После развертывания входящие правила группы безопасности внутреннего сервера, показать что разрешает трафик на порт 8000 только из запросов, сделанных экземплярами в группе безопасности веб-сервера :

    Группа безопасности сервера базы данных показывает, что разрешает трафик только на порт 3306 из запросов, сделанных из экземпляров в рамках безопасности внутреннего сервера group :

    Далее мы рассмотрим, как мы можем редактировать исходящие правила по умолчанию. группы безопасности.

    Обновление исходящих правил групп безопасности в AWS CDK #

    Чтобы отредактировать исходящие правила группы безопасности в CDK, мы должны установить свойство allowAllOutbound для false при создании экземпляра SecurityGroup сорт.

    Код для этой статьи доступен на GitHub

    Давайте создадим группу безопасности и настроим для нее правила исходящего трафика.

      импортировать * как ec2 из '@aws-cdk/aws-ec2';
    импортировать * как cdk из '@aws-cdk/core';
    
    класс экспорта CdkStarterStack расширяет cdk.Куча {
      конструктор (область: cdk.App, идентификатор: строка, реквизит?: cdk.StackProps) {
        супер(область, идентификатор, реквизит);
    
        
    
        
        const customOutboundSG = new ec2.SecurityGroup(this, 'custom-outbound-sg', {
          вкк,
          разрешитьAllOutbound: ложь,
          description: 'группа безопасности с настраиваемыми правилами исходящего трафика',
        });
    
        customOutboundSG.addEgressRule(
          ec2.Peer.ipv4('10.0.0.0/16'),
          ec2.Port.tcp(3306),
          'разрешить исходящий трафик через порт 3306',
        );
    
        customOutboundSG.addEgressRule(
          эк2.Одноранговый.любойIpv4(),
          ec2.Порт.tcp(80),
          'разрешить исходящий трафик через порт 80',
        );
      }
    }
      

    Давайте рассмотрим фрагмент кода.

    1. мы создали группу безопасности, но на этот раз мы установили реквизит allowAllOutbound к ложный . Это необходимо, если мы собираемся редактировать исходящие правила для группу безопасности, иначе наши правила выхода просто будут игнорироваться
    2. мы использовали метод addEgressRule для экземпляра SecurityGroup Класс

    Исходящие правила, которые мы добавили в группу безопасности:

    Тип Протокол Порт Source
    MYSQL TCP 3306 backendServerSG-id
    Порт
    Port

    MySQL

    Давайте разверним изменения:

    Если мы посмотрим на консоль управления VPC, мы можем видеть, что исходящие правила имеют было применено к группе безопасности:

    Обратите внимание, что мы не добавили никаких правил для входящего трафика в группу безопасности, поэтому она нет:

    Очистка #

    Чтобы удалить предоставленные ресурсы, введите команду destroy :

    Дополнительная информация #

    aws.

    security-group — документация Cloud Custodian

    Фильтры

    по умолчанию-vpc

    Фильтр, который возвращает любую группу безопасности, существующую в vpc по умолчанию

    пример
     политики:
      - имя: группа безопасности-по умолчанию-vpc
        ресурс: группа безопасности
        фильтры:
          - по умолчанию-vpc
     
     свойства:
      тип:
        перечисление:
        - по умолчанию-vpc
    требуется:
    - тип
     

    Разрешения — ec2:DescribeVpcs

    дифференциал

    Вычислить разницу между текущим ресурсом и предыдущей версией.

    Ресурс соответствует фильтру, если существует разница между текущим ресурс и выбранная версия.

    Использует конфигурацию в качестве базы данных ревизий ресурсов.

    Редакции можно выбирать по дате, по сравнению с предыдущей версией и против заблокированной версии (требуется использование фильтра is-locked).

     свойства:
      селектор:
        перечисление:
        - предыдущий
        - Дата
        - заблокирован
      selector_value:
        тип: строка
      тип:
        перечисление:
        - разница
    требуется:
    - тип
     

    Разрешения — конфигурация: GetResourceConfigHistory

    выход

    Фильтр для проверки разрешений входа и выхода группы безопасности

    Все атрибуты разрешения группы безопасности доступны как фильтры значений.

    Если указано несколько атрибутов, разрешение должно удовлетворять все они. Обратите внимание, что в пределах соответствия атрибута значению списка разрешения мы по умолчанию или.

    Если у группы есть какие-либо разрешения, соответствующие всем условиям, то она соответствует фильтру.

    Разрешения, соответствующие группе, аннотируются к группе и впоследствии может использоваться действием удаления-разрешения.

    У нас есть специальная обработка для сопоставления портов на входе/выходе разрешение От/до диапазона.Следующий пример соответствует входу правила, которые позволяют использовать диапазон, включающий все заданные порты.

     - тип: вход
      Порты: [22, 443, 80]
     

    Также для проверки того, что правило разрешает только определенный набор портов как в следующем примере. Дельта между этим и предыдущим Например, если разрешение разрешает любые порты, не указанные здесь, то правило совпадет. т.е. OnlyPorts — это совпадение с отрицательным утверждением, оно совпадает, когда разрешение включает порты за пределами указанного набора.

     - тип: вход
      Только порты: [22]
     

    Для упрощения обработки диапазонов IP-адресов, которые указаны в виде списка в правиле. мы предоставляем ключ Cidr , который можно использовать в качестве оцениваемого фильтра типа значения против каждого из правил. Если какой-либо iprange cidr совпадает, разрешение Спички.

     - тип: вход
      IP-протокол: -1
      Из порта: 445
     

    У нас также есть специальная обработка для сопоставления ссылок на самих себя в вход/выход разрешений. Следующий пример соответствует входу правила, которые разрешают трафик своей же группе безопасности.

     - тип: вход
      Самореференция: Истина
     

    Также для утверждений о том, что разрешение на вход/выход соответствует только заданный набор портов, примечание OnlyPorts является обратным совпадением.

     - тип: выход
      Только порты: [22, 443, 80]
    
    - тип: выход
      Сидр:
        тип_значения: cidr
        оп: в
        значение: xyz
     

    Cidr может соответствовать правилам ipv4, а CidrV6 может соответствовать правилам ipv6. В В этом примере мы блокируем глобальные входящие подключения к SSH или RDP.

     - или:
      - тип: вход
        Порты: [22, 3389]
        Сидр:
          значение: "0.0.0.0/0"
      - тип: вход
        Порты: [22, 3389]
        CidrV6:
          значение: "::/0"
     

    SGReferences можно использовать для фильтрации ссылок на SG в правилах. В этом примере мы хотим заблокировать правила входа, которые ссылаются на SG. с тегом . Доступ: общедоступный .

     - тип: вход
      Ссылки:
        ключ: "тег:Доступ"
        значение: "Общедоступно"
        оп: равно
     

    Мы также можем фильтровать ссылки на SG на основе VPC, которым они являются. в пределах.В этом примере мы хотим убедиться, что наши исходящие правила что ссылочные SG ссылаются только на группы безопасности в указанный ВПК.

     - тип: выход
      Ссылки:
        ключ: 'VpcId'
        значение: 'vpc-11a1a1aa'
        оп: равно
     

    Точно так же мы можем фильтровать ссылки на SG по их описанию. Например, мы можем запретить выходным правилам ссылаться на какие-либо SG с описанием «по умолчанию — НЕ ИСПОЛЬЗОВАТЬ».

     - тип: выход
      Ссылки:
        ключ: "Описание"
        значение: 'по умолчанию - НЕ ИСПОЛЬЗОВАТЬ'
        оп: равно
     
     свойства:
      Сидр: {}
      CidrV6: {}
      Описание: {}
      Из порта:
        один из:
        - $ref: '#/определения/фильтры/значение'
        - тип: целое число
      IP-протокол:
        один из:
        - перечисление:
          - '-1'
          - -1
          - TCP
          - удп
          - ИКМП
          - icmpv6
        - $ref: '#/определения/фильтры/значение'
      IP-диапазоны: {}
      Только порты:
        Предметы:
          тип: целое число
        тип: массив
      Порты:
        Предметы:
          тип: целое число
        тип: массив
      Префикслистидс: {}
      SGReferences: {}
      Самоссылка:
        тип: логический
      Порт:
        один из:
        - $ref: '#/определения/фильтры/значение'
        - тип: целое число
      UserIdGroupPairs: {}
      матч-оператор:
        перечисление:
        - или
        - а также
        тип: строка
      тип:
        перечисление:
        - выход
    требуется:
    - тип
     

    вход

    Фильтр для проверки разрешений входа и выхода группы безопасности

    Все атрибуты разрешения группы безопасности доступны как фильтры значений.

    Если указано несколько атрибутов, разрешение должно удовлетворять все они. Обратите внимание, что в пределах соответствия атрибута значению списка разрешения мы по умолчанию или.

    Если у группы есть какие-либо разрешения, соответствующие всем условиям, то она соответствует фильтру.

    Разрешения, соответствующие группе, аннотируются к группе и впоследствии может использоваться действием удаления-разрешения.

    У нас есть специальная обработка для сопоставления портов на входе/выходе разрешение От/до диапазона.Следующий пример соответствует входу правила, которые позволяют использовать диапазон, включающий все заданные порты.

     - тип: вход
      Порты: [22, 443, 80]
     

    Также для проверки того, что правило разрешает только определенный набор портов как в следующем примере. Дельта между этим и предыдущим Например, если разрешение разрешает любые порты, не указанные здесь, то правило совпадет. т.е. OnlyPorts — это совпадение с отрицательным утверждением, оно совпадает, когда разрешение включает порты за пределами указанного набора.

     - тип: вход
      Только порты: [22]
     

    Для упрощения обработки диапазонов IP-адресов, которые указаны в виде списка в правиле. мы предоставляем ключ Cidr , который можно использовать в качестве оцениваемого фильтра типа значения против каждого из правил. Если какой-либо iprange cidr совпадает, разрешение Спички.

     - тип: вход
      IP-протокол: -1
      Из порта: 445
     

    У нас также есть специальная обработка для сопоставления ссылок на самих себя в вход/выход разрешений. Следующий пример соответствует входу правила, которые разрешают трафик своей же группе безопасности.

     - тип: вход
      Самореференция: Истина
     

    Также для утверждений о том, что разрешение на вход/выход соответствует только заданный набор портов, примечание OnlyPorts является обратным совпадением.

     - тип: выход
      Только порты: [22, 443, 80]
    
    - тип: выход
      Сидр:
        тип_значения: cidr
        оп: в
        значение: xyz
     

    Cidr может соответствовать правилам ipv4, а CidrV6 может соответствовать правилам ipv6. В В этом примере мы блокируем глобальные входящие подключения к SSH или RDP.

     - или:
      - тип: вход
        Порты: [22, 3389]
        Сидр:
          значение: "0.0.0.0/0"
      - тип: вход
        Порты: [22, 3389]
        CidrV6:
          значение: "::/0"
     

    SGReferences можно использовать для фильтрации ссылок на SG в правилах. В этом примере мы хотим заблокировать правила входа, которые ссылаются на SG. с тегом . Доступ: общедоступный .

     - тип: вход
      Ссылки:
        ключ: "тег:Доступ"
        значение: "Общедоступно"
        оп: равно
     

    Мы также можем фильтровать ссылки на SG на основе VPC, которым они являются. в пределах.В этом примере мы хотим убедиться, что наши исходящие правила что ссылочные SG ссылаются только на группы безопасности в указанный ВПК.

     - тип: выход
      Ссылки:
        ключ: 'VpcId'
        значение: 'vpc-11a1a1aa'
        оп: равно
     

    Точно так же мы можем фильтровать ссылки на SG по их описанию. Например, мы можем запретить выходным правилам ссылаться на какие-либо SG с описанием «по умолчанию — НЕ ИСПОЛЬЗОВАТЬ».

     - тип: выход
      Ссылки:
        ключ: "Описание"
        значение: 'по умолчанию - НЕ ИСПОЛЬЗОВАТЬ'
        оп: равно
     
     свойства:
      Сидр: {}
      CidrV6: {}
      Описание: {}
      Из порта:
        один из:
        - $ref: '#/определения/фильтры/значение'
        - тип: целое число
      IP-протокол:
        один из:
        - перечисление:
          - '-1'
          - -1
          - TCP
          - удп
          - ИКМП
          - icmpv6
        - $ref: '#/определения/фильтры/значение'
      IP-диапазоны: {}
      Только порты:
        Предметы:
          тип: целое число
        тип: массив
      Порты:
        Предметы:
          тип: целое число
        тип: массив
      Префикслистидс: {}
      SGReferences: {}
      Самоссылка:
        тип: логический
      Порт:
        один из:
        - $ref: '#/определения/фильтры/значение'
        - тип: целое число
      UserIdGroupPairs: {}
      матч-оператор:
        перечисление:
        - или
        - а также
        тип: строка
      тип:
        перечисление:
        - вход
    требуется:
    - тип
     

    json-разница

    Вычислить разницу между текущим ресурсом и предыдущей версией.

    Ресурс соответствует фильтру, если существует разница между текущим ресурс и выбранная версия.

    Использует конфигурацию в качестве базы данных ревизий ресурсов.

    Редакции можно выбирать по дате, по сравнению с предыдущей версией и против заблокированной версии (требуется использование фильтра is-locked).

     свойства:
      селектор:
        перечисление:
        - предыдущий
        - Дата
        - заблокирован
      selector_value:
        тип: строка
      тип:
        перечисление:
        - json-diff
    требуется:
    - тип
     

    Разрешения — конфигурация: GetResourceConfigHistory

    устаревший

    Фильтр для поиска групп безопасности, содержащих устаревшие ссылки другим группам, которые либо больше не присутствуют, либо пересекают разорванное пиринговое соединение vpc.Обратите внимание, что это относится к VPC Только группы безопасности и будет неявно фильтровать группы безопасности.

    Документы AWS:

    https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups. html

    пример
     политики:
      - имя: stale-security-groups
        ресурс: группа безопасности
        фильтры:
          - несвежий
     
     свойства:
      тип:
        перечисление:
        - несвежий
    требуется:
    - тип
     

    Разрешения — ec2:DescribeStaleSecurityGroups

    неиспользованный

    Фильтрация только по группам безопасности vpc, которые не используются.

    Мы сканируем все существующие enis в vpc, чтобы получить базовый набор групп в использовании. Затем добавьте те, на которые ссылаются конфигурации запуска, и лямбда-выражения, так как они могут не иметь существующих ресурсов в vpc на данный момент. Мы также находим любую группу безопасности со ссылками из другая группа безопасности либо в vpc, либо в одноранговой сети. соединения. Также проверяет облачное наблюдение за событиями, нацеленными на ecs.

    Проверки — enis, lambda, launch-configs, sg rule refs и ecs cwe цели.

    Обратите внимание, что этот фильтр не поддерживает классические группы безопасности.

    пример
     политики:
      - имя: группы безопасности-неиспользуемые
        ресурс: группа безопасности
        фильтры:
          - неиспользованный
     
     свойства:
      тип:
        перечисление:
        - неиспользованный
    требуется:
    - тип
     

    Разрешения — lambda:ListFunctions, ec2:DescribeNetworkInterfaces, автомасштабирование:DescribeLaunchConfigurations, ec2:DescribeSecurityGroups, события:ListTargetsByRule

    б/у

    Фильтрация по используемым группам безопасности.

    Работает как дополнение к неиспользуемому фильтру для многоступенчатого рабочие процессы.

    пример
     политики:
      - имя: используемые группы безопасности
        ресурс: группа безопасности
        фильтры:
          - использовал
     
     свойства:
      тип:
        перечисление:
        - использовал
    требуется:
    - тип
     

    Разрешения — lambda:ListFunctions, ec2:DescribeNetworkInterfaces, автомасштабирование:DescribeLaunchConfigurations, ec2:DescribeSecurityGroups, события:ListTargetsByRule

    .

    alexxlab

    Добавить комментарий

    Ваш адрес email не будет опубликован.

    TCP 3306 10.0.0.0 / 16
    HTTP TCP 80 80 90 0.0.0.0/0