Domain admins 在域中的权限

在域环境中，`Domain admins`组相当于管理员角色。

- 当计算机加入域后，`Domain Admins`组会自动被赋予本地系统管理员的权限。具体来说，在计算机成为域成员主机的过程中，系统会将`Domain Admins`域组添加到本地的`Administrators`组中。 - `Domain Admins`组的成员可以访问域中的任何计算机，并具备“完全控制”的权限。 - 为了加强计算机的安全，对于敏感的计算机，建议将`Domain Admins`组从本地的`Administrators`组中删除。

Enterprise admins 组的权限

`Enterprise admins`是根域中存在的两个全局安全组之一，具有以下权限：

- `Enterprise Admins`：企业管理组，能够对活动目录（Active Directory）中的整个林（Forest）进行修改。例如，添加子域（虽然`Domain admins`组中的成员也可以添加子域，但`Enterprise Admins`组的权限范围更广）。 - `Schema Admins`：架构管理组，能够对活动目录整个林进行架构修改。这包括用户或组的一些属性选项卡等架构元素。

Domain users 权限

- 为了更好地对客户端权限进行管理和控制，通常只赋予终端用户`Domain User`组的权限。 - 然而，有些软件需要`Local Administrator`权限才能安装和运行。为满足这些特殊情况的需求，可以参考AD域控管理及实际应用中的问题集锦中关于“Domain users软件安装和使用权限的开启设置”的部分。