了解哪些 Active Directory 身份可能因為預設安全群組成員資格而擁有預設權限。
某些在建立網域時創建的 Active Directory(本地)預設安全群組默認授予特權狀態。成為特權安全群組的成員可用於控制對共享資源的訪問和委派管理角色。您應該調查不需要特權狀態的特權身份,以查看這些身份是否屬於特權群組。如果可能,請將這些身份從群組中移除,以加強您組織的身份安全性。
以下表格詳細列出授予特權狀態的預設安全群組。
|
群組
|
說明
|
|
帳戶操作員
|
可以創建和修改大多數帳戶類型
|
|
管理員
|
擁有對計算機或域控制器的無限制訪問權限
|
|
備份操作員
|
可以備份和還原電腦上所有檔案,無論其保護狀態如何
|
|
網域管理員
|
控制對域中所有域控制器和管理帳戶的訪問
|
|
網域控制器
|
對於域中的所有域控制器具有訪問權限
|
|
企業管理員
|
可以進行整個森林的修改,包括添加子域
|
|
列印操作員
|
可以管理、創建、共享和刪除連接到域控制器的打印機
|
|
只讀域控制器
|
對於域中的所有域控制器具有只讀訪問權限
|
|
複製器
|
可以在一個網域內複製檔案資料,包括系統政策和登錄腳本
|
|
架構管理員
|
可以修改 Active Directory 架構
|
|
伺服器操作員
|
可以訪問和修改域控制器上的伺服器配置選項;默認情況下沒有成員
|