AD群組

群組
ad目錄服務或本機電腦物件,通常是帳戶的集合
各群組都有一個唯一的sid

win2000群組領域
global(通用):用來組織某個網域的使用者帳號,成員包括
 同網域的其他通用群組,只在原始模式有
 同網域的使用者
domain local(網域區域):只作用在本機上,成員包括
 同網域的其他網域區域群組,只在原始模式有
 樹系中的使用者
 樹系中的通用群組

 樹系中的萬用群組,只在原始模式有
universal(萬用):只在原始模式有,成員包括
 樹系中的使用者
 樹系中的通用群組
 樹系中的萬用群組
ps:通常使用者會加進通用群組,通用群組在加進網域區域群組

win2000群組類型
安全性:會有sid
發佈:主要用做電子郵件清單

………….

ad內建domain local群組,通常在builtin容器中,本身有right和permission
account operators 可建立修改刪除管理使用者帳戶和群組,但*admins*,[account|backup|print|server] operators除外
administrators
backup operators
guests
print operstors
replicator
server operators
users

ad內建global群組,通常在user容器中,right和permission透過隸屬domain local群組才有
cert publishers
domain admins 若有新電腦加網域,此群組會加入對方電腦的administrators群組中
domain computers
domain controllers
domain guests
domain users 若有新電腦加網域,此群組會加入對方電腦的users群組中
group policy admins

ad內建萬用群組,通常在user容器中,right和permission透過隸屬domain local群組才有
schema admins
enterprise admins

win2000非網域控制站的內建本機群組
administrators
backup operators 可登入及關閉電腦,備份和回存資料
users 可登入及關閉電腦,存取網路,儲存文件,預設本機使用者帳號都是此群組成員
power users 有user的功能外,還可建立修改使用者帳戶,安裝程式
replicator 支援目錄複寫功能,一般不會將使用者加入此群組
guests 只能執行管理員授權的任務

win2000內建系統群組
anonymous logon
authenticated users
batch
create owner
dialup
everyone 只要能登入網域的使用者都屬於此群組
interactive 透過本機登入的使用者
network 透過網路存取的使用者
service
system 作業系統本身的群組