默認組是指AD中自動創建的組,通常這些組位於Builtin和User容器中。這些組不同於自定義組,都具有一些管理特權的受保護的組,意味着這些組的成員也會受到保護。
而這種保護是系統定義,無法撤銷。例如,一個用戶賬戶User,它隸屬於Domain Admins組,同時它也是Sales OU成員,這時對Sales OU所有用戶執行重置密碼操作,但User用戶的密碼不會被重置。
所以在實際生產環境中,應儘量避免將用戶加入到這些默認組中,應創建自定義的組,並根據實際管理需求分配能完成目標的最小化的管理權限。
這些默認組的具體權限和權利如下:
-)Enterprise Admins(位於林根域的Users容器內):
該組在林中每個域內都是Administrators組的成員,因此對所有域控制器都有完全訪問權。另外該組還可訪問目錄的Configuration分區,
對所有林和域的域名環境都有完全控制權。
-)Schema Admins(位於林根域的Users容器內):
該組擁有並可瓦全控制Active Directory架構。
-)Administrators(位於每個域的Builtin容器中):
該組可對所有域控制器和域名環境的所有數據具有完全控制權。該組成員可以更改Enterprise Admins、Schem Admins和Domain Admins組的成員關係。
林根域中的Administrators組可以說是林中強大的服務管理組。
-)Domain Admins(位於每個域的Users容器內):
該組會被加入自己所在域中的Administrators組,因此可以繼承Administrators祖的所有能力。同時該組默認會被添加到每臺域成員計算機的本地Administrators組中,
這樣Domain Admins就對域中的所有計算機擁有了所有權。
-)Server Operaters(位於每個域的Builtin容器內):
該組成員可在域控制器上執行維護任務,可以本地登錄,啓動和停止服務,執行備份和還原操作,格式化磁盤,創建或刪除共享,並能關閉域控制器。
默認情況下,該組沒有成員。
-)Account Operators(位於每個域的Builtin容器內):
該組成員可以創建、修改和刪除域中任何組織單位(Domain Controllers這個OU除外)內用於用戶、組合計算機的賬戶和Users和Computers容器。
Account Operators無法更改隸屬於Administrators或Domain Admins組的賬戶,也不能修改這些組。Account Operators還可本地登錄到域控制器,默認情況下沒有成員。
-)Backup Operators(位於每個域的Builtin容器內):
該組的成員可在域控制器上執行備份和還原操作,並可本地登錄和關閉域控制器。默認情況下,該組沒有成員。
-)Print Operators(位於每個域的Builtin容器內):
該組成員可以維護域控制器上的打印列隊,並可本地登錄和關閉域控制器。
