AD中默认组的权限和权利

        默认组是指AD中自动创建的组，通常这些组位于Builtin和User容器中。这些组不同于自定义组，都具有一些管理特权的受保护的组，意味着这些组的成员也会受到保护。

而这种保护是系统定义，无法撤销。例如，一个用户账户User，它隶属于Domain Admins组，同时它也是Sales OU成员，这时对Sales OU所有用户执行重置密码操作，但User用户的密码不会被重置。

 

       所以在实际生产环境中，应尽量避免将用户加入到这些默认组中，应创建自定义的组，并根据实际管理需求分配能完成目标的最小化的管理权限。

 

这些默认组的具体权限和权利如下：

 

-）Enterprise Admins（位于林根域的Users容器内）：

          该组在林中每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。另外该组还可访问目录的Configuration分区，

     对所有林和域的域名环境都有完全控制权。

 

-）Schema Admins（位于林根域的Users容器内）：

          该组拥有并可瓦全控制Active Directory架构。

 

-）Administrators（位于每个域的Builtin容器中）：

          该组可对所有域控制器和域名环境的所有数据具有完全控制权。该组成员可以更改Enterprise Admins、Schem Admins和Domain Admins组的成员关系。

     林根域中的Administrators组可以说是林中强大的服务管理组。

 

-）Domain Admins（位于每个域的Users容器内）：

           该组会被加入自己所在域中的Administrators组，因此可以继承Administrators祖的所有能力。同时该组默认会被添加到每台域成员计算机的本地Administrators组中，

      这样Domain Admins就对域中的所有计算机拥有了所有权。

 

-）Server Operaters（位于每个域的Builtin容器内）：

          该组成员可在域控制器上执行维护任务，可以本地登录，启动和停止服务，执行备份和还原操作，格式化磁盘，创建或删除共享，并能关闭域控制器。

      默认情况下，该组没有成员。

 

-）Account Operators（位于每个域的Builtin容器内）：

           该组成员可以创建、修改和删除域中任何组织单位（Domain Controllers这个OU除外）内用于用户、组合计算机的账户和Users和Computers容器。

     Account Operators无法更改隶属于Administrators或Domain Admins组的账户，也不能修改这些组。Account Operators还可本地登录到域控制器，默认情况下没有成员。

 

-）Backup Operators（位于每个域的Builtin容器内）：

          该组的成员可在域控制器上执行备份和还原操作，并可本地登录和关闭域控制器。默认情况下，该组没有成员。

 

-）Print Operators（位于每个域的Builtin容器内）：

          该组成员可以维护域控制器上的打印列队，并可本地登录和关闭域控制器。