下面列舉一些 AD 中重要的安全性群組，這些群組在某些資源上都具有特權，這些群組也是紅隊在社交工程或攻陷某台主機後的兵家必爭之地。

• Administrators 的成員可以不受限制地存取domain的資源。它不僅是最具權力的一個群組，也是在 AD 和 DC 中預設具有管理員權限的群組。該群組的成員可以更改 Enterprise Admins、 Schema Admins 和 Domain Admins 群組的成員關係，是 Domain Forest 中強大的服務管理群組。
• Remote Desktop Users 的成員具有遠端登入權限。
• Print Operators 的成員可以管理網路印表機，包括建立、管理及刪除網路印表機，並可以在本地登入和關閉 Domain Controller。
• Account Operators 的成員可以創建和管理該domain中的使用者和群組並為其設置權限，也可以在本地登入Domain Controller，但是，不能更改屬於 Administrators 或 Domain Admins 群組的帳號，也不能修改這些群組。在預設情況下，該群組中沒有成員。
• Server Operators 的成員可以管理加入 domain 的伺服器，其權限包括建立/管理/刪除任意伺服器的共享資料夾、管理網路印表機、備份任何伺服器的檔案、格式化伺服器硬碟、鎖定伺服器、變更伺服器的系統時間、關閉 Domain Controller 等。在預設情況下，該群組中沒有成員。
• Backup Operators 的成員可以在 Domain Controller 中執行備份和還原的操作，並可以在本地登入和關閉Domain Controller。在預設情況下，該群組中沒有成員。
• Domain Admins 的成員在所有加人 domain 的伺服器（工作站）、Domain 和 AD 中均預設擁有完整的管理員權限。因為該群組會被添加到自己所在 domain 的 Administrators 群組中，因此可以繼承 Administrators 群組的所有權限。該群組預設會被添加到每台 domain 主機的本地 Administrators 群組中，Domain Admins 群組就獲得了 domain 中所有機器的所有權。
• Enterprise Admins 是 Domain Forest 的 Root-Domain 中的一個群組。該群組在 Domain Forest 中的每個 domain 內都是 Administrators 群組的成員，因此對所有 Domain Controller 都有完全存取權。
• Domain Users 中是所有的 domain 成員。在預設情況下，任何建立的使用者帳號都屬於 Domain Users 群組，而任何由我們建立的機器帳號都屬於 Domain Computers 群組。因此，如果想讓所有的帳號都獲得某種資源存取權限，可以將該權限指定給 Domain Users 群組，或者讓 Domain Users 群組加入具有該權限的群組。

官方文件: https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/understand-security-groups