04域内权限

机器加入到域内后，可以使用域内的用户进行登录，域内用户信息存放在DC上，添加或者修改账户等操作都是在域控上进行操作

![](https://oss.maolin101.com/202501061825625.png-101.webp)

#  管理员组

administrators组成员可以不受限制的存取计算机或者域的资源，活动目录和域控制器中默认具有管理员权限的组，该组成员可以更改enterprise adminis、domain adminis组的成员关系，是域森林中强大的服务管理组。

![](https://oss.maolin101.com/202501061825626.png-101.webp)

#  域管理员组

Domain admins组-域管理员，拥有完整的管理员权限，该组会被添加到自己所在域的administrators组中，因此会继承administrators组的所有权限。同时该组会默认被添加到每台域成员计算机的本地administrators组中，这样domain admins组就可以获得域中计算机的所有权限。

![](https://oss.maolin101.com/202501061825627.png-101.webp)

#  企业系统管理员

enterprise admins组为域森林或者根域中的一个组，该组在域森林中的每个域内都是administrators组的成员，因此对所有域控制器都有完全访问权。

![](https://oss.maolin101.com/202501061825628.png-101.webp)

#  域用户组

domain users组中的成员为所有域内成员，默认情况下，任何由管理员创建的用户账号都属于domain users组，该组在域内机器中存在于users组。

![](https://oss.maolin101.com/202501061825629.png-101.webp)

#  域中所有工作站和服务器

domain computers组，任何由管理员创建的计算机账号都属于该组

![](https://oss.maolin101.com/202501061825630.png-101.webp)

#  域内工作组

机器加入到域之后，可以选择使用域内用户登录也可以使用本地用户登录

- 本地用户登录，账户密码是存放在本地文件中，本机进行校验；域内用户登录，是通过DC认证之后才能登录，用户信息存放在域控上面。

- 本地用户登录主要是对比NTLM HASH值，域认证是通过kerberos认证

- 在计算机登录界面可以选择本地登录还是域用户登录

本地登录：机器名\用户名

域内用户：域名\用户名

#  域内最高权限

域内最高管理员权限为 域名\administrator，该账户没有UAC认证，也是每个域机器的本地管理员，和机器名\administrator 具有相同的权限，SID也为500。

![](https://oss.maolin101.com/202501061825631.png-101.webp)

# 域内普通管理员

加入了域中的domain admins组，但不是administrator用户。

该用户虽然也是管理员，但是个别操作也会触发UAC。

# 机器用户与system区别

机器账户指的是在网络中用户代表计算机或设备的用户，在Windows域环境中，每台计算机都有一个机器账户，用于在网络中进行身份验证和授权。

机器账户的名称通常以计算机名称或者计算机GUID作为前缀，例如WH$。机器账户与具体计算机相关联，用于代表计算机进行域认证和访问域资源。

当计算机加入到域后，机器账户的密码会同步到域控上面，也就是说本地system用户对应域内的机器用户。

system账户为本地计算机的特殊账号，而机器账号是域中的账号。但在某些情况下，例如当本地计算机需要访问域资源时，system账户可能会充当机器账号的角色。在域环境中，本地计算机可以使用system账号作为其身份进行域认证和访问授权。

注意：system账户不是专门为域中的机器账户而创建的。