「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

網域本機群組

• 指派所屬網路的權限，以存取該網域的資源
• 成員：包含任何網域內的使用者、全域群組、萬用群組
  • 可包含相同網域的網域本機群組
  • 無法包含其他網域的本機群組

內建的本機群組預設

網域內會預設本機群組，包含預設權限，讓這些群組具有可以管理 AD DS 的能力。可將想要讓特定使用者管理 AD DS 可將使用者加入這些內建本機群組，以下是 Builtin 容器：

• Account Operators
  • 該群組成員可以在
    • 針對：容器（容區）、組織單位
    • 進行：新增、修改、刪除
    • 影響：使用者、群組、電腦帳戶
    • 不能管理　administrator
• Administrators (駭客的最愛)
  • 該群組成員
    • 擁有：系統管理權限
    • 針對：所有網域控制站與網域內容
    • 影響：所有成員使用者、群組
• Backup Operator
  • 該群組成員
    • 擁有：domain Control 的備份與還原
• Guests
  • 該群組成員
    • 擁有：臨時工作環境（使用者設定檔）
      • 登出後臨時環境會被刪除
• Network Configuration Operators
  • 該群組成員
    • 擁有：網域控制站一般網路設定工作
      • 常見：更新 ip 位址
    • 不可：
      • 安裝、移除驅動程式
      • 執行網路伺服器設定（DNS、DHCP)
• Performance Monitor Users
  • 該群組成員
    • 擁有：監視網域控制站的運作效能
• Print Operators
  • 該群組成員
    • 擁有：管理網域控制站的 印表機
• Remote Desktop Users
  • 該群組成員
    • 擁有：遠端桌面登入權限
• Server Operators
  • 該群組成員
    • 擁有：
      1. 還原與備份網域控制站的檔案
      2. 鎖定與解鎖網域控制站
      3. 格式化網域控制站硬碟
      4. 更改網域控制站系統時間
      5. 關機
• User
  • 該群組成員
    • 擁有
      1. 執行應用程師
      2. 不能更改作業系統設定
      3. 不能更改使用者資料
      4. 不能將伺服器關機

內建全域群組

內建沒有權限，可加入具備權限的網域本機群組，或指派權限給全域群組，以下存在於 User 容器(容區)

• Domain Admins
  • 網域成員電腦會將該群組加入本機群組 Administrator
  • 網域內所有電腦都有系統管理員權限
  • 預設成員：網域使用者 Administrator
• Domain Computers
  • 網域內成員電腦(除網域控制站之外)被自動加到該群組
• Domain Controllers
  • 網域內網域控制站被自動加到該群組
• Domain User
  • 網域成員電腦會將該群組加入本機群組 User
  • 預設成員：網域使用者 Administrator
    • 之後新增的網域使用者帳戶也會隸屬該群組
• Domain Guests
  • 網域成員電腦會將該群組加入本機群組 Guest
  • 預設成員：網域使用者 Guest

內建萬用群組

• Enterprise Admins
  • 存在於 tree 網域
  • 有權管理 tree 所有網路
  • 預設成員：tree 中的使用者 Administrator
• Schema Admins
  • 存在於 tree 網域
  • 可管理架構 schema 權限
  • 預設成員：tree 中的使用者 Administrator

內建特殊群組

• Everyone
  • 任何使用者皆屬於該群組
  • • 若要指派權限需要注意
      • 用 Guest 沒有權限，但 Guest 本身也屬於 Everyone 內，因此給 Everyone 群線需要特別小心
• Authenticated User
  • 任何有效登入電腦的使用者
• Interactive
  • 利用本機登入電腦的使用者
• Network
  • 利用網路登入電腦的使用者
• Dialup
  • 利用撥接方式連線的使用者