域內權限解讀

目錄

域本地組

全局組

通用組

A-G-DL-P策略

內置組

幾個比較重要的域本地組

幾個比較重要的全局組、通用組的權限

域本地組

多域用戶訪問單域資源(訪問同一個域)

可以從任何域添加用戶賬戶、通用組和全局組，但只能在其所在域內指派權限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問權限。

全局組

單域用戶訪問多域資源(必須是一個域里面的用戶)

只能在創建該全局組的域中添加用戶和全局組。可以在域森林的任何域內指派權限。全局組可以嵌套在其他組中。

可以將某個全局組添加到同一個域的另一個全局組中，或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中，全局組只能在創建它的域中添加用戶和組)。雖然可以通過全局組授予用戶訪問任何域內資源的權限，但一般不直接用它來進行權限管理。

全局組和域本地組的關系，與域用戶賬號和本地賬號的關系類似。域用戶賬號可以在全局使用，即在本域和其他關系的其他域中都可以使用，而本地賬號只能在本機中使用。例如：將用戶張三(Z3)添加到域本地組 Administrators 中，并不能使Z3對非DC的域成員計算機擁有任何特權。但若將Z3添加到全局組Domain Admins中，用戶張三就成為了域管理員了(可以在全局使用，對域成員計算機擁有特權)。

通用組

多域用戶訪問多域資源

通用組的成員可包括域樹或域林中任何域的用戶賬號、全局組和其他通用組，可以在該域森林的任何域中指派權限，可以嵌套在其他組中，非常適合在域森林內的跨域訪問中使用。不過，通用組的成員不是保存在各自的域控制器中，而是保存在全局編錄(GC)中年的，任何變化都會導致全林復制。

全局編錄通常用于存儲一些不經常發生變化的信息。由于用戶賬號信息是經常變化的，建議不要直接將用戶賬號添加到通用組中，而要先將用戶賬號添加到全局組中，再把這些相對穩定的全局組添加到通用組中。

簡單一句話概括：

• 域本地組：來自全林，作用于本域

• 全局組：來自本域，作用于全林

• 通用組：來自全林，作用于全林

A-G-DL-P策略

A-G-DL-P策略是指將用戶賬號添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權限。

• A 表示用戶賬號(Account)

• G 表示全局組(Global Group)

• U 表示通用組(Universal Group)

• DL 表示域本地組(Domain Local Group)

• P 表示資源權限(Permission)

按照A-G-DL-P策略對用戶進行組織和管理是非常容易的。在A-G-DL-P策略形成以后，當需要給一個用戶添加某個權限時，只要把這個用戶添加到某個域本地組中就行了。

內置組

在安裝域控制器時，系統會自動生成一些組，稱為內置組。內置組定義了一些常用的權限。通過將用戶添加到內置組中可以使用戶獲得相應的權限。

活動目錄控制臺窗口的 Builtin 和 Users 組織單元中的組就是內置組。

• 內置的域本地組在 Builtin 組織單元中。

• 內置的全局組合通用組在 Users 組織單元中。?

幾個比較重要的域本地組

• 管理員組(Administrators)：該組的成員可以不受限制地存取計算機/域內的資源。它不僅是最具權利的一個組，也是在活動目錄和域控制器中默認具有管理員權限的組。該組的成員可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 組的成員關系，是域森林中年強大的服務管理組。

• 遠程登錄組(Remote Desktop Users)：該組的成員具有遠程登錄權限。

• 打印機操作員組(Print Operators)：該組的成員可以管理網絡打印機，包括建立，管理及刪除網絡打印機，并可以在本地登錄和關閉域控制器。

• 賬號操作員組(Account Operators)：該組的成員可以創建和管理該域中的用戶和組并為其設置權限，也可以在本地登錄域控制器。但是，不能更改屬于Administrators或Domain Admins組的賬號，也不能更改這些組。在默認情況下，該組中沒有成員。

• 服務器操作員組(Server Operators)：該組的成員可以管理域服務器，其權限包括建立、管理、刪除任意服務器的共享目錄、管理網絡打印機、備份任何服務器的文件、格式化服務器硬盤、鎖定服務器、變更服務器的系統時間、關閉域控制器等。在默認情況下，該組中沒有成員。

• 備份操作員組(Backup Operators)：該組的成員可以在域控制器中執行備份和還原操作，并可以在本地登錄和關閉域控制器。在默認情況下，該組中沒有成員。

幾個比較重要的全局組、通用組的權限

• 域管理員組(Domain Admins)：該組的成員在所有加入域的服務器、域控制器和活動目錄中均默認擁有完整的管理員權限。因為該組會被添加到自己所在域的Administrators組中，因為可以繼承Administrators組的所有權限。同時，該組默認會被添加到每臺域成員計算機的本地Administrators組中。這樣，Domain Admins組就獲得了域中所有計算機的所有權。如果希望某用戶成為域系統管理員，建議將該用戶添加到Domain Admins組中，而不要直接將該用戶添加到Administrators組中。

• 企業系統管理員組(Enterprise Admins)：該組是域森林根域中的一個組。該組在域森林中的每個域內都是Administrators組的成員，因此對所有域控制器都有完全訪問權。

• 域用戶組(Domain Users)：該組是所有的域成員，在默認情況下，任何由我們建立的用戶賬號都屬于Domain Users組，而任何由我們建立的計算機賬號都屬于Domain Computers組。因此，如果想讓所有的賬號都獲得某種資源存取權限，可以將該權限指定給域用戶組，或者讓域用戶組屬于具有該權限的組。域用戶組默認是內置域Users組的成員。

• 架構管理員組(Schema Admins)：該組是域森林根域中的一個組，可以修改活動目錄和域森林的模式。該組是為活動目錄和域控制器提供完整權限的域用戶組，因此，該組成員的資格是非常重要的。

責編：vivian

來源：謝公子博客

掃碼關注我們吧！如果文中有錯誤的地方，歡迎指出。有想轉載的，可以留言我加白名單。
最后，歡迎加入謝公子的小黑屋(安全交流群)(QQ群：783820465)

總結

以上是生活随笔為你收集整理的sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。