2024年4月3日发(作者:)

SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID

码 S-1-5-18

ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除

GUEST 只拥有相对极少的权限,在默认情况下是被禁止的

SUPPORT_388945A0 WINDOWS XP和WINDOWS2003中新增的一个用户帐户,可以用来通过WINDOWS

中的HELP AND

SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的

IUSER_MACHINENAME 如果安装了IIS,别人就能使用这个帐户来匿名访问IIS;它是GUESTS用户组

的用员

IWAM_MACHINENAME 如果安装了IIS,各种IIS应用程序就将运行在这个帐户下;它是IIS_WPG用

户组的成员之一

TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户

用户组:

用户组是为简化用户管理工作而引入的一个概念--它们就像是一些容器,每个容器里是一些拥有

同样权限的用户

Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544)

USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545)

GUESTS 与USER组相同

Remote Desktop Users WINDOWS2003中新增用户组,相当于远程终端用户

Network Configuration Operators WINDOWS2003新增用户组 这个用户组有足够的权限去管理

网络配置状况

HelpServicesGroup WINDOWS2003中新增的用户组,供HELP AND SUPPORT CENTRER组件使用

Backup Operators 虽然不ADMINISTRATORS的权限大,,但也差不多

Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥

有的少

Print Operators 虽然不如ADMINISTOR的权限大,但也相差不多.

IIS_WPG WINDOWS2003中新增用户组,如果安装了IIS,,WEB应用进程的帐户将被容纳在这个用户

组里

Performance Log Users WINDOWS2003中新增的用户组,这个用户组有权从远程安排性能计数器

的日志工作

*Performance Monitor Users WINDOWS2003中新增的用户组,这个用户组有权从远程监控计算

机的运行情况

域控制器WINDOWS2003中还有一些用户组

CERT PUBLISHERS 这个组的成员有权在活动目录上发布证书

DNSADMINS DNS管理员(安装了WINDWOS DNS时才会存在)

DNSUPDATEPROXY 有权代表其它客户进行动态刷新的DNS客户(比如DHCP服务器;仅在安装了

WINDWOS DNS时才会存在)

DDOMAIN ADMINS 这个组在域中拥有最高权限

DOMAIN USERS 域中的全体用户

DOMAIN COMPUTERS 域中的全部计算机

DOMAIN CONTROLLERS 域中的全部控制器

DOMAIN GUESTS 域中的全体GUEST用户

GROUP POLICY CREATOR OWNERS 这个组里的成员有权修改这个域的组策略

INCOMING FORST TRUST BUILDERS 这个组里的成员有权创建从外部进入本森林的单向信任关系

PRE-WINDOWS2000 COMATIBLE ACCESS 为了与WINDOWS之前的WINDOWS版本保持向后兼容而建立

RAS AND IAS SERVERS 有权访问用户对象上的"REMOTE ACCESS"(远程访问)属性的服务器

DNSADMINS DNS管理员 管理范围权限于它所在的域

ENTERPRISE ADMINS 这个组在森林中拥有最高的权限

SCHEMA ADMINS 这个组里的成员有权编辑目录结构,权限相当大

WINDOWS AUTHORIZATION ACCESS GROUP 组成员有权访问用户对象上利用特定算法计出来的

TOKENGROUPSGLOBALANDUNVERSAL属性