本地组
wmic group get name,sid
Administrators
Users
Guests
Backup Operators
Remote Desktop Users
Power Users
Network Configuration Operators
域组
adfind.exe -f "(objectcategory=group)" -dn
1:组的类型
安全组(Security group)
-
为活动目录中的安全组分配用户权限。 -
为资源上的安全组分配权限。
通讯组(Distribution group)
2:组的作用域
-
本地域组(domain local group) -
全局组(global group) -
通用组(universal group)
本地域组
adfind.exe -f "(|(grouptype=-2147483644)(grouptype=-2147483643))" -dn
全局组
adfind.exe -f "(grouptype=-2147483646)" -dn
通用组
adfind.exe -f "(grouptype=-2147483640)" -dn
3:活动目录中内置的组
内置的本地域组
-
Access Control Assistance Operators:此组的成员可以远程查询此计算机上资源的授权属性和权限。 -
Account Operators:该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。 -
Administrators:其成员具备系统管理员权限,他们对所有域控制器拥有最大的控制权,可以执行活动目录管理工作。内置系统管理员Administrator就是此组的曾有,而且无法将其从此组内删除。 -
Backup Operators:其成员可以通过Windows Server Backup工具来备份与还原域控制器内的文件,不管他们是否有权限访问这些文件。其成员也可以对域控制器执行关机操作。 -
Certificate Service DCOM Access:其组成员可以连接到企业中的证书颁发机构。 -
Cryptographic Operators:其组成员可以执行加密操作。 -
Distributed COM Users:其组成员允许启动、激活和使用此计算机上的分布式COM对象。 -
Event Log Readers:其组成员可以从本地计算机读取事件日志。 -
Guests:其成员无法永久改变其桌面环境,当他们登录时,系统会为他们建立一个临时的用户配置文件,而注销时此配置文件就会被删除。此组默认的成员为用户账户Guest与全局组Domain Guests。 -
Hyper-V Administrators:此组的成员拥有对 Hyper-V 所有功能的完全且不受限制的访问权限。 -
IIS_IUSRS:其组成员是Internet信息服务使用的内置组。 -
Incoming Forest Trust Builders:其组成员可以创建到此林的传入、单向信任。 -
Network Configuration Operators:其成员可在域控制器上执行常规网络配置工作,例如变更ip地址,但不可以安装、删除驱动程序与服务,也不可执行与网络服务器配置有关的工作,例如DNS与DHCP服务器的设置。 -
Performance Log Users:此组的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序,以及在本地或通过远程访问此计算机来收集事件跟踪记录。 -
Performance Monitor Users:其组成员可监视域控制器的运行情况。 -
Pre-Windows 2000 Compatible Access:此组主要是为了与WindowsNT4.0兼容。其成员可以读取活动目录内的所有用户与组账户。其默认的成员为特殊组 Authenticated Users。只有在用户的计算机是Windows NT4.0或更早版本的系统时,才将用户加入到此组中。 -
Print Operators:该组的成员可以管理网络打印机,包括建立,管理及删除网络打印机,并可以在本地登录和关闭域控制器。 -
RDS Endpoint Servers:此组中的服务器运行虚拟机和主机会话,用户 RemoteApp 程序和个人虚拟桌面将在这些虚拟机和会话中运行。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要位于此组中。 -
RDS Management Servers:此组中的服务器可以在运行远程桌面服务的服务器上执行例程管理操作。需要将此组填充到远程桌面服务部署中的所有服务器上。必须将运行 RDS 中心管理服务的服务器包括到此组中。 -
RDS Remote Access Servers:此组中的服务器使 RemoteApp 程序和个人虚拟桌面用户能够访问这些资源。在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 网关服务器和 RD Web 访问服务器需要位于此组中。 -
Remote Desktop Users:其成员可以远程计算机通过远程桌面来登录。 -
Remote Management Users:此组的成员可以通过管理协议(例如,通过 Windows 远程管理服务实现的 WS-Management)访问 WMI 资源。这仅适用于授予用户访问权限的 WMI 命名空间。 -
Replicator:此组成员支持域中文件的复制。 -
Server Operators:该组的成员可以管理域服务器,其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。 -
Terminal Server License Servers:此组的成员可以使用有关许可证颁发的信息更新活动目录中的用户账户,以进行跟踪和报告TS每用户CAL使用情况。 -
Users:其成员仅拥有一些基本权限,例如执行应用程序,但是他们不能修改操作系统的设置,不能修改其他用户的数据、不能将服务器关闭。此组默认的成员为全局组Domain Users。 -
Windows Authorization Access Group:此组的成员可以访问User对象上经常计算机 tokenGroupsGlobalAndUniversal 属性。
-
Allowed RODC Password Replication Group:允许将此组中成员的密码复制到域汇总的所有只读域控制器。 -
Cert Publishers:此组的成员被允许发布证书到目录。 -
Denied RODC Password Replication Group:不允许将此组中成员的密码复制到域中的所有只读域控制器。 -
DnsAdmins:DNS Administrators组。 -
RAS and IAS Servers:这个组中的服务器可以访问用户的远程访问属性。 -
WinRMRemoteWMIUsers__:该组的成员可以通过管理协议(例如通过Windows远程管理服务访问WMI资源。这只适用于授予用户访问权限的WMI名称空间。
内置的全局组
-
Cloneable Domain Controllers:可以克隆此组中作为域控制器的成员。 -
DnsUpdateProxy:允许替其他客户端(如 DHCP 服务器)执行动态更新的 DNS 客户端。 -
Domain Admins:该组的成员在所有加入域的服务器、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中,因为可以继承Administrators组的所有权限。同时,该组默认会被添加到每台域成员计算机的本地Administrators组中。这样,Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到Domain Admins组中,而不要直接将该用户添加到Administrators组中。 -
Domain Computers:所有的域成员主机都会被自动加入到此组中(域控除外) -
Domain Controllers:域内的所有域控制器都会被自动加入到此组内。 -
Domain Guests:域成员计算机会自动将此组加入到本地Guests内。此组默认的成员为域用户Guest -
Domain Users:该组是所有的域成员,在默认情况下,任何由我们建立的用户账号都属于Domain Users组,而任何由我们建立的计算机账号都属于Domain Computers组。因此,如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。 -
Group Policy Creator Owners:此组成员可以修改域的组策略。 -
Protected Users:此组的成员将受到针对身份验证安全威胁的额外保护。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=298939。 -
Read-only Domain Controllers:此组中的成员是域中只读域控制器
内置的通用组
-
Enterprise Admins:该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权。 -
Enterprise Read-only Domain Controllers:该组的成员是企业中的只读域控制器 -
Schema Admins:该组是域森林根域中的一个组,可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组,因此,该组成员的资格是非常重要的。
4:域组的管理
域组的创建
net group ceshi_group /add /domain
添加用户到组中
net group ceshi_group hack /add /domain
域组的删除
net group ceshi_group /del /domain
域组的查询
net group "domain admins" /domain
adfind.exe -f "&(objectClass=group)(name=Domain Admins)"
END
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论