1、SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID码 S-1-5-18ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除GUEST 只拥有相对极少的权限,在默认情况下是被禁止的SUPPORT_388945A0 WINDOWS XP 和 WINDOWS2003 中新增的一个用户帐户,可以用来通过 WINDOWS中的 HELP AND SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的IUSER_MACHINENAME 如果安装了 IIS,别人就能使用这个帐户来匿名访问 IIS;
2、它是 GUESTS 用户组的用员IWAM_MACHINENAME 如果安装了 IIS,各种 IIS 应用程序就将运行在这个帐户下;它是 IIS_WPG 用户组的成员之一TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户用户组:用户组是为简化用户管理工作而引入的一个概念-它们就像是一些容器,每个容器里是一些拥有同样权限的用户Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544)USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545)GUESTS 与 USER 组相同Remo
3、te Desktop Users WINDOWS2003 中新增用户组,相当于远程终端用户Network Configuration Operators WINDOWS2003 新增用户组 这个用户组有足够的权限去管理网络配置状况HelpServicesGroup WINDOWS2003 中新增的用户组,供 HELP AND SUPPORT CENTRER 组件使用Backup Operators 虽然不 ADMINISTRATORS 的权限大,但也差不多Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥有的少Print Op
4、erators 虽然不如 ADMINISTOR 的权限大,但也相差不多.IIS_WPG WINDOWS2003 中新增用户组,如果安装了 IIS,WEB 应用进程的帐户将被容纳在这个用户组里Performance Log Users WINDOWS2003 中新增的用户组,这个用户组有权从远程安排性能计数器的日志工作*Performance Monitor Users WINDOWS2003 中新增的用户组,这个用户组有权从远程监控计算机的运行情况域控制器 WINDOWS2003 中还有一些用户组CERT PUBLISHERS 这个组的成员有权在活动目录上发布证书DNSADMINS DNS 管
5、理员(安装了 WINDWOS DNS 时才会存在)DNSUPDATEPROXY 有权代表其它客户进行动态刷新的 DNS 客户(比如 DHCP 服务器;仅在安装了WINDWOS DNS 时才会存在)DDOMAIN ADMINS 这个组在域中拥有最高权限DOMAIN USERS 域中的全体用户DOMAIN COMPUTERS 域中的全部计算机DOMAIN CONTROLLERS 域中的全部控制器DOMAIN GUESTS 域中的全体 GUEST 用户GROUP POLICY CREATOR OWNERS 这个组里的成员有权修改这个域的组策略INCOMING FORST TRUST BUILDERS
6、 这个组里的成员有权创建从外部进入本森林的单向信任关系PRE-WINDOWS2000 COMATIBLE ACCESS 为了与 WINDOWS 之前的 WINDOWS 版本保持向后兼容而建立的RAS AND IAS SERVERS 有权访问用户对象上的“REMOTE ACCESS“(远程访问)属性的服务器DNSADMINS DNS 管理员 管理范围权限于它所在的域ENTERPRISE ADMINS 这个组在森林中拥有最高的权限SCHEMA ADMINS 这个组里的成员有权编辑目录结构,权限相当大WINDOWS AUTHORIZATION ACCESS GROUP 组成员有权访问用户对象上利用特定算法计出来的TOKENGROUPSGLOBALANDUNVERSAL 属性
