Группа встроенных участников безопа-сности (соответст-вующий SID)Членство в группе и назначение
Restricted Code* (S-1-5-12)Вводится в маркер доступа пользователя при использовании RunAs с параметром Run this program with restricted access в Windows 2003 или Protect my computer and data from unauthorized program activity в XP
Remote Interactive Logon* (S-1-5-14)Вводится в маркер доступа пользователя, если пользователь зарегистрирован с помощью Terminal Services или RDP; позволяет назначить разрешения пользователям, зарегистрированным через Terminal Services или RDP
This Organization (S-1-5-15)Используется для доверительных отношений в лесу и селективной аутентификации на основе внешних доверительных отношений; благодаря селективной аутентификации администраторы могут отличать пользователей доверенного леса (домена) от доверяющего леса (домена) при работе с параметрами управления доступом; вводится в доверяющем лесу (домене) в маркеры доступа пользователей, которые определены в доверяющем лесу (домене) (см. Other Organization)
Local Service* (S-1-5-19)Служебная учетная запись с минимальными разрешениями для служб, которым необходим доступ только к локальным данным, но не к другим сетевым компьютерам
Network Service* (S-1-5-20)Служебная учетная запись с минимальными разрешениями для служб, которым необходим доступ к другим сетевым компьютерам
NTLM Authentication (S-1-5-64-10)Позволяет назначить специальные разрешения для низкоуровневой аутентификации клиентов с помощью слабо защищенного протокола NTLM; вводится в маркер доступа пользователя, когда тот регистрируется на DC с помощью NTLM; может применяться для ограничения доступа к ресурсам в записи управления доступом (access control entry, ACE)
SChannel Authentication (S-1-5-64-14)Позволяет назначить специальные разрешения для аутентификации клиентов через безопасный канал (например, аутентификации HTTP Secure - HTTPS - для сервера Microsoft IIS, LDAP-аутентификации для Windows DC)
Digest Authentication (S-1-5-64-21)Пакет аутентификации, благодаря которому возможна Digest-аутентификация на основе HTTP на сервере IIS; позволяет указать пользователей, которым разрешено задействовать протокол Digest для аутентификации
Other Organization (S-1-5-1000)Используется для доверительных отношений в лесу и селективной аутентификации на основе внешних доверительных отношений; позволяет различать пользователей в доверенном лесу (домене) и в доверяющем лесу (домене) при работе с параметрами управления доступом; вводится в доверяющем лесу (домене) в маркеры доступа пользователей, определенных в доверенном лесу (домене) (см. This Organization)

* Поддерживается также в XP SP2.

Поделитесь материалом с коллегами и друзьями