内置的本地组账户
1. Administrators :计算机最大权限, Administrator属于此组,无法从此组删除
2. Backup Operators:Windows Server Backup备份工具的权限
3. Guests: 临时账户组,此组用户永远改变其工作环境,当他们登录时系统会临时的给它们一个用户配置文件,当注销时此配置文件就会被删除。此用户默认成员为Guest
4. Network Configuration Operator: 可以更改IP地址但是不能安装驱动和配置有关网络的服务
5. Performance Monitor Users可以监视本地计算机运行功能
6. Power Users: 高级用户,有了部分安装权限,前提是不能改变系统环境或者是创建系统服务的安装程序。可以修改控制面板的大部分权限,可以创建用户但是创建用户不能比自己权限高
7. Remote Desktop Users: 远程桌面来登陆计算机
8. Users:一般用户
特殊的组账户
1. Everyone拥有所有的用户是Guest的父类,如果再你的计算机没有账户的用户通过网络连接你电脑时会自动使用Guest账户来连接。Guest属于Everyone组。
2. Authenticated Users任何有效的登陆计算机都属于这个组
3. Interactive任何在本地登陆(CTRL+ALT+DEL)登陆的用户
4. Network任何通过网络登陆计算机的用户
5. Anonymous Logon任何未使用有效的一般用户账户来登陆的用户(不属于Everyone)
6. Dialup任何使用拨号方式来联网的用户


① 本地域组
Account Operators: 此组的成员默认可以在组织单位内添加删除修改用户、组域计算机。部分容器除外(Builtin容器与Domain Controllers组织单位),也不允许在部分容器(Users)内添加计算机账户,也无法修改或删除某些组的成员(administrators、Backup Operators等)
Administrators: 拥有系统管理员权限,对所有域控制器拥有最大权限,可以管理AD。
Backup Operators:可以使用Windows Server Backup工具来备份。此成员可以关机。
Guests:  临时创建的用户当注销时用户配置文件将删除。
Network Configuration Operators:  可以更改IP地址但是不能安装驱动和配置有关网络的服务
Performance Monitor Users:  此组的用户可以监视域控制器的运行性能
Pre-Windows 2000 Compatible Access: 此组为了与Windows NT 4.0兼容。可以读取AD域内的所有用户与组账户。
Print Operators: 此组成员可以在域控制器上管理打印机,也可以讲域控关机。
Remote Desktop Users: 此组内的用户可以远程桌面服务来登陆
Server Operators: 此组内的成员可以备份还原域控制器内的文件,锁定与解开域控制器,格式化硬盘。更改域控制器的时间,并且可以关机。
Users: 本地域的一些基本权限。
② 内置的全局组
 Domain Admins: 域的成员计算机会自动加到本地组的Administrator内因此对每台计算机都有管理员权限。
Domain Computers:  此有加入域的计算机都会被自动加入到此组。
Domain Controllers:  此所有域控制器都会被加入到此组。
Domain Users: 域的成员计算机会自动将此组加入到其本地组Users内,拥有本地用户的一般权限。
Domain Guests: 域内的成员计算机会自动加入到本地组Guests内。
③ 内置的通用组
Enterprise Admins: 此组仅位于林根,其成员有权管理林内的所有域。此组默的成员为林根域内的用户Administrator。
Schema Admins:  此组仅位于林域,其成员具备管理构架的权限属于Administrator。