1、windows 权限组解析使用组(Group), 将相同性质的用户归类到同一个组中(1)全局组 (Global Group)可通行所有域的组,只有域控制器(Domain Controller)才有全局组到其它域登录被其它域的系统管理员设置此组对该域的访问权限加入到其它域的本地组中全局组中只可包含该组所属域内的用户,不可包含其它域内的用户,也不可包含其它本地或全局组(2)本地组 (Local Group)域的本地组可以包含所有域中的所有用户与所有全局组,但是不可包含其它本地组, 本地组可以包含:a 本域中用户帐号b 本域中全局组帐号c 其它受托域(Trusted Domain)中的用户帐号d 其
2、它受托域中的全局组帐号e 本地计算机中用户帐号域中的本地组,其所能够访问的资源范围 ,只取决于该域中的域控制器(PDC 或 BDC),即只有当资源是域控制内的资源,才可以将访问权限设置给域本地组同理,NT workstation, NT Server(非域控制器)计算机中的本地组(非域上的本地组),其资源访问范围也只限于该计算机_帐号分类(Account)(1)全局帐号全局帐号是缺省的设置,大部分的用户都是全局帐号 不但可以在其所属域(Home Domain)中使用,也可以在被其信任的域中使用(Trusted Domain) (2)本地帐号如果网络中除了 NT 外,还有其它网络操作系统,如 L
3、AN Manager, Novell Netware 或 IBM LAN Server,那么这些网络操作系统域 NT Server 网络之间, 可以通过本地帐号作为通信的桥梁 本地帐号只能在建立该帐号的域中使用,而不可以在其它的域中使用,即使它被其它的域所信任,也不可以在信任域中使用(Trusting Domain) 本地帐号无法从本域中(建立该帐号的域)的计算机登录 _NT 内置组1 内置本地组Administrator: 系统管理员组,最高控制权限ServerOperator: 只存在与 PDC 或 BDC 中,拥有管理 PDC和 BDC 的权限AccountOperator: 只存在与
4、PDC 和 BDC 中,可利用“域用户管理器“添加用户帐号或组; 修改或删除大部分用户帐号与组无法修改或删除 Administrators,Domain Admins,Account Operator, Backup Operator, PrinterOperator, ServerOperator 等组无法修改隶属于 Administrators 组的用户帐号无法管理安全规则(Security Policy)PrinterOperators: 只存在于 PDC 和 BDC 中可以建立,停止或管理在 NTServer 上的共享答应机可以登录这些服务器,并将它关闭(shutdown)Backup
5、Operators: 可以备份和还原服务器中的目录和文件可以登录这些服务器,并将它关闭Users: 在 NTserver 上拥有较少的权限 Guests: 非常少的权限Replicator:主要目的时进行目录复制(Directory Replication)PowerUser: 只存在于 NTWorkstation 和非 PDC 和非BDC 的 NTServer 中, 域上没有此组 2 缺省的全局组Domain Admins: 也隶属于 Administrators 本地组DomainUsers: 所有的域用户都属于此组,此组也隶属于Users 本地组DomainGuests:包含用户帐号 Guest3 缺省的特殊组Interactive: 任何在本机登录的用户(Anyone using the computer locally)Network: 任何通过网络连接的用户System: 指操作系统本身EveryOne:任何使用计算机的人员 事实上,EveryOne 并不是一个组,在“域用户管理器 “的组列表中没有它,但可以对它设置权限和访问权限
