域伺服器内置使用者組說明

一、内置的域本地組

域本地組位于 Active Directory 的 Builtin 組織機關内。以下是幾個比較常用

的域本地組

l Administrators 

Administrators域本地組組員具備系統管理者的權限，擁有對整個域最大的控制權

，可以執行整個域的管理任務。

預設成員：Administrator帳号、Domain Admins全局組、Enterprise Admins全局

組。

l Server Operators  想要授權其它使用者（如二級域管理者）遠端桌面登陸域控，必須加入此組。

Server Operators 的組員擁有管理域控制器的權利，例如在域控制器上登入域；

建立、管理、删除域控制器上的共享檔案夾與共享列印機；備份與還原檔案；鎖定

與解開域控制器；将域控制器上的硬碟格式化；更改系統的時間；将域控制器關閉

等。

l Account Operators  

Account Operators 的組員可以利用“Active Directory 使用者和計算機”來添加

、更改、删除域内的使用者帳戶與組。不過，無法更改或删除administrators、

Domain Admins、Account Operators、Backup Operators、Printer Operators 和

Server Operators等重要的組。

l Printer Operators

Printer Operators的組員可以建立、停止或管理在域控制器上的共享列印機；可

以将域控制器關閉。

l Backup Operators

Backup Operators的域本地組的組員可以利用“Windows 2000備份”程式來備份和

還原域控制器内的檔案夾與檔案；可以将域控制器關閉。

l Users 

Users域本地組的組員所能夠執行的任務，根據指派給它的權利而定；而其所能夠

通路的資源，則根據所指派給他的權限而定。

預設的成員：Domain Users全局組

l Guests

Guests域本地組的組員所能夠執行的任務，根據指派給它的權利而定；而其所能夠

通路的資源，則根據所指派給他的權限而定。此組是供沒有Windows 2000使用者帳戶

，而需要來通路資源的使用者使用。

預設成員：使用者帳戶Guest、Domain Guest全局組。

二、内置的全局組

當建立一個域時，系統會在Active Directory内建立一些内置的全局組。這些全局

組本身并沒有任何權利和權限，但是可通過将其加入到具備權利和權限的域本地組

，或直接給此全局組指派權利和權限。内置全局組位于Users 組織機關内。以下列

出幾個較常用的全局組

l Domain Admins

Domain Admins全局組内的每個成員也都具備系統管理者的權限和權利。

預設成員：使用者帳戶Administrator。

l Domain Users

Domain Users組預設的成員：使用者帳戶Administrator，以後所有添加的域使用者帳

戶都自動屬于Domain Users全局組

l Domain Guest

Domain Gues組預設成員：使用者帳戶Guest

l Enterprise Admins

Enterprise Admins組中的使用者具備管理整個網絡的權利，這是通過把此全局組加

入到每個域的Administrators域本地組内來實作的。

三、内置的本地組

l Administrators

Administrators本地組内的使用者，都具備系統管理者的權限和權利，他們擁有對這

台計算機最大的控制權，可以執行整台計算機的管理任務。内置的系統管理者賬戶

Administrator就是此本地組的成員，而且無法将其從此組中删除。如計算機加入

了域，則域上的系統管理者在這台計算機上也具備了系統管理者的權限。

Backup Operators本地組的組員可以利用“Windows 2000備份”程式來備份和還原

該計算機内的檔案夾與檔案。

Users本地組的組員所能夠執行的任務，根據指派給它的權利而定；而其所能夠訪

問的資源，則根據所指派給他的權限而定。如計算機加入了域，則域上的Domain 

Users會自動被加入到此計算機的Users組。

Guests本地組的組員所能夠執行的任務，根據指派給它的權利而定；而其所能夠訪

問的資源，則根據所指派給他的權限而定。此組是供沒有Windows 2000使用者帳戶，

而需要來通路資源的使用者使用。此組成員無法改變其桌面的工作環境，預設的成員

為使用者帳戶Guest。如計算機加入了域，則域上的Domain Guests會自動被加入到此

計算機的Guests組内。

l Power User 

Power User組員可以添加、删除、更改本地使用者帳戶；建立、管理、删除本地計算

機内的共享檔案夾與列印機。

四、内置的系統組

系統組位于每台Windows 2000的計算機内，這些組的成員根據使用者如何通路資源而

定，無法更改這些組的成員，即無法在“Active Directory 使用者和計算機”或“

計算機管理”内看到、管理這些組。這些組隻有在設定權利、權限時才看得到。常

用的系統組有：

l Everyone

任何一個通路該計算機的使用者都屬于這個組。

l Authenticated User

任何一個利用有效的使用者帳戶來連接配接的使用者都屬于此組。建議在設定權限時，盡量

通過Authenticated User組設定，而不要通過Everyone設定。

l Interactive

任何在本地登陸的使用者都屬于這個組。

l Network

任何通過網絡來連接配接此計算機的使用者，都屬于這個組。

l Creator Owner

檔案夾、檔案或列印檔案等資源的建立者，就是此資源的Creator Owner，但是如

果建立者屬于Administrators組内的成員，則其Creator Owner為Administrators

l Anonymous Logon

任何沒有利用有效的Windows 2000帳号連接配接的使用者，都屬于此組。

l Dialup

任何利用撥号方式連接配接的使用者，都屬于此組。 

五、内置特殊組：

Everone 任何一個使用者都屬于這個組。注意，如果Guest帳号被啟用時，則給Everone這個組指派權限時必須小心，因為當一個沒有帳戶的使用者連接配接計算機時，他被允許自動利用Guest帳戶連接配接，但是因為Guest也是屬于Everone組，是以他将具備Everyone所擁有的權限。

Authenticated Users 任何一個利用有效的使用者帳戶連接配接的使用者都屬于這個組。建議在設定權限時，盡量針對Authenticated Users組進行設定，而不要針對Everone進行設定。

Interactive 任何在本地登入的使用者都屬于這個組。

Network　任何通過網絡連接配接此計算機的使用者都屬于這個組。