差别
这里会显示出您选择的修订版和当前版本之间的差别。
| 两侧同时换到之前的修订记录 前一修订版 | |||
| is:域控:ad域控管理组成员定义 [2025/02/17 04:00] – 移除 - 外部编辑 (未知日期) 127.0.0.1 | is:域控:ad域控管理组成员定义 [2025/02/17 04:00] (当前版本) – ↷ 页面is:ad域控管理组成员定义被移动至is:域控:ad域控管理组成员定义 A.L | ||
|---|---|---|---|
| 行 1: | 行 1: | ||
| + | **Domain admins 在域中的权限** | ||
| + | 在域环境中,`Domain admins`组相当于管理员角色。 | ||
| + | |||
| + | - 当计算机加入域后,`Domain Admins`组会自动被赋予本地系统管理员的权限。具体来说,在计算机成为域成员主机的过程中,系统会将`Domain Admins`域组添加到本地的`Administrators`组中。 | ||
| + | - `Domain Admins`组的成员可以访问域中的任何计算机,并具备“完全控制”的权限。 | ||
| + | - 为了加强计算机的安全,对于敏感的计算机,建议将`Domain Admins`组从本地的`Administrators`组中删除。 | ||
| + | |||
| + | **Enterprise admins 组的权限** | ||
| + | |||
| + | `Enterprise admins`是根域中存在的两个全局安全组之一,具有以下权限: | ||
| + | |||
| + | - `Enterprise Admins`:企业管理组,能够对活动目录(Active Directory)中的整个林(Forest)进行修改。例如,添加子域(虽然`Domain admins`组中的成员也可以添加子域,但`Enterprise Admins`组的权限范围更广)。 | ||
| + | - `Schema Admins`:架构管理组,能够对活动目录整个林进行架构修改。这包括用户或组的一些属性选项卡等架构元素。 | ||
| + | |||
| + | **Domain users 权限** | ||
| + | |||
| + | - 为了更好地对客户端权限进行管理和控制,通常只赋予终端用户`Domain User`组的权限。 | ||
| + | - 然而,有些软件需要`Local Administrator`权限才能安装和运行。为满足这些特殊情况的需求,可以参考[[AD域控管理及实际应用中的问题集锦]]中关于“Domain users软件安装和使用权限的开启设置”的部分。 | ||