本地组是Windows操作系统中用于管理本地计算机上用户访问权限的一种机制。通过本地组,管理员可以将用户帐户组织成逻辑单元,从而简化权限管理和访问控制。组的概念
本地组是Windows操作系统中用于管理本地计算机上用户访问权限的一种机制。通过本地组,管理员可以将用户帐户组织成逻辑单元,从而简化权限管理和访问控制。
以下是关于本地组的详细说明:
- 组的概念:
- 组是一个容器,可以包含多个用户帐户。通过将用户添加到相应的组,管理员可以更容易地为用户分配权限和访问控制列表(ACL)。
- 组可以嵌套,即一个组可以成为另一个组的成员。这使得权限管理更加灵活。
- 内置本地组:
- Windows操作系统提供了一些预定义的本地组,用于常见的权限管理任务。这些内置本地组包括:
- Administrators:此组的成员具有对计算机的完全控制权限,可以执行所有任务,包括安装软件、更改系统设置和访问所有文件。
- Users(或Authenticated Users在某些系统上):此组包含计算机上的普通用户。默认情况下,用户创建的帐户会成为此组的成员。这些用户具有执行大多数日常任务的权限,但不能更改系统级的设置或安装软件。
- Guests:此组用于来宾用户,通常出于安全考虑而被禁用或限制权限。来宾用户无法访问大多数系统资源。
- Backup Operators:此组的成员可以备份和还原计算机上的文件,无论文件的权限设置如何。
- Power Users(在较旧版本的Windows中存在,但在Windows Vista及更高版本中已不存在):此组曾用于需要执行一些管理任务但又不需要完全管理员权限的用户。
- Windows操作系统提供了一些预定义的本地组,用于常见的权限管理任务。这些内置本地组包括:
- 自定义本地组:
- 除了内置本地组外,管理员还可以创建自定义本地组,以满足特定的权限管理需求。
- 自定义本地组可以根据需要命名,并且可以将用户、其他组或计算机帐户添加到这些组中。
- 通过为自定义本地组分配适当的权限,管理员可以控制组中的用户对计算机资源的访问。
- 组的作用域:
- 本地组的作用域仅限于创建它们的计算机。这意味着本地组中的用户和权限设置仅适用于该计算机。
- 在网络环境中,如果需要跨多台计算机管理用户和权限,通常会使用Active Directory中的域组。
- 管理本地组:
- 本地组可以通过“计算机管理”控制台或“本地用户和组”管理单元进行管理。
- 管理员可以添加和删除组成员,更改组属性(如组名称和描述),以及为组分配权限。
除了之前提到的内置本地组外,Windows操作系统还提供了一些其他的内置本地组,这些组在特定的场景下用于控制用户的访问权限。以下是一些额外的内置本地组:
- System Managed Accounts Group:
- 这个组是Windows系统中一个特殊的组,用于存储由系统管理的帐户,如Windows Update服务的帐户。通常情况下,你不需要将用户或其他组添加到此组中。
- Network Configuration Operators:
- 成员可以具有管理网络配置的权限,例如更改TCP/IP设置,但通常不能更改其他用户的权限或访问敏感的系统文件。
- Performance Monitor Users:
- 成员可以访问性能计数器数据,这对于监视系统性能非常有用,但并不赋予其他系统范围的权限。
- Remote Desktop Users:
- 成员被允许通过远程桌面连接到计算机。默认情况下,此组可能不包含任何用户,需要管理员显式添加。
- Replicator:
- 用于文件和打印复制服务的旧组。在现代Windows版本中,这个组的作用已经不那么重要,因为文件复制通常通过其他机制(如DFS复制)来处理。
- Event Log Readers:
- 成员可以读取应用程序、安全和系统日志,这有助于进行故障排除和监视,但不包括写入日志的权限。
- Hyper-V Administrators:
- 如果计算机上安装了Hyper-V角色,此组将存在,并允许成员管理Hyper-V的所有方面,包括创建和删除虚拟机。
- Access Control Assistance Operators:
- 成员可以远程查询授权属性和权限,这对于帮助台支持人员可能很有用,他们可能需要帮助用户解决访问问题,但不应具有更改权限的能力。
- Cryptographic Operators:
- 成员可以执行加密操作,但不能查看加密数据的内容。这有助于在需要加密数据但又不想让用户能够解密的情况下进行权限分离。
请注意,不是所有版本的Windows都包含上述所有组,而且随着Windows的更新,可能会添加或删除某些组。此外,管理员可以创建自定义的本地组以满足特定的需求。
列出的这些Windows内置本地组的详细说明:
- Access Control Assistance Operators:
- 成员可以远程查询授权属性和权限,以帮助用户解决访问控制问题。但是,他们不能更改任何资源的权限设置。
- Administrators:
- 这是一个非常强大的组,其成员具有对计算机/域不受限制的完全访问权,可以执行所有管理功能。他们可以安装软件、更改系统设置、访问所有文件等。
- Backup Operators:
- 成员可以备份和还原计算机上的所有文件,无论这些文件的权限设置如何。但是,他们不能更改安全设置或执行管理任务,除非他们也是Administrators组的成员。
- Certificate Service DCOM Access:
- 当计算机上运行证书服务时,此组允许成员通过DCOM访问证书颁发机构。这通常用于远程管理证书服务。
- Cryptographic Operators:
- 成员可以执行加密和解密操作,但不能查看加密数据的内容。这个组用于执行加密任务,但不赋予查看敏感数据的权限。
- Device Owners:
- 在某些Windows版本中,此组可能与移动设备管理相关,允许成员对其拥有的设备执行特定的管理任务。
- Distributed COM Users:
- 成员可以使用分布式组件对象模型(DCOM)在本地计算机上启动、激活和使用对象。这对于需要跨进程或跨机器通信的应用程序是必要的。
- Event Log Readers:
- 成员可以读取应用程序、安全和系统日志。这对于监视系统活动和故障排除很有用,但不包括写入日志的权限。
- Guests:
- 默认情况下,来宾用户帐户会成为此组的成员。此组通常用于限制用户的访问权限,确保他们不能更改系统设置或访问敏感数据。出于安全考虑,这个组通常会被禁用。
- Hyper-V Administrators:
- 如果计算机上安装了Hyper-V角色,此组将存在。成员可以执行所有Hyper-V管理任务,包括创建、修改和删除虚拟机。
- IIS_IUSRS:
- 当安装Internet Information Services (IIS)时,此组用于控制对IIS Web服务器资源的访问。任何需要读取IIS网站内容的用户帐户都应添加到此组。
- Network Configuration Operators:
- 成员具有更改网络设置的权限,例如TCP/IP配置,但不能更改其他用户的权限或访问敏感的系统文件。
- Performance Log Users:
- 此组允许成员远程访问性能计数器数据。这有助于远程监视系统性能,但不包括更改计数器设置的权限。
- Performance Monitor Users:
- 成员可以访问性能监视器工具来查看系统性能数据。这对于系统分析和故障排除很有用。
- Power Users(在较新版本的Windows中已废弃):
- 在旧版本的Windows中,此组允许用户执行除管理员任务外的所有操作。然而,在较新版本的Windows中,出于安全考虑,这个组已被弃用,其成员应被分配到其他更具体的组。
- Print Operators:
- 成员可以管理打印机和打印作业,包括添加、删除和配置打印机,但不能更改打印作业的内容。
- RDS Endpoint Servers、RDS Management Servers、RDS Remote Access Servers:
- 这些组与远程桌面服务(RDS)相关,分别用于控制可以作为RDS终端服务器、RDS管理服务器和RDS远程访问服务器的计算机。
- Remote Desktop Users:
- 成员被允许通过远程桌面协议(RDP)远程连接到计算机。这通常用于远程管理和支持。
- Remote Management Users:
- 成员可以使用Windows远程管理(WinRM)服务来远程管理计算机。这包括使用PowerShell和其他管理工具进行远程访问。
- Replicator(在较新版本的Windows中已不常用):
- 在旧版本的Windows中,此组用于文件和打印复制服务。然而,在较新版本的Windows中,文件复制通常通过其他机制(如DFS复制)来处理,因此这个组的重要性已降低。
- Storage Replica Administrators:
- 在Windows Server上,此组允许成员管理存储副本功能,这是用于数据复制和高可用性的功能。
- System Managed Accounts Group:
- 这是一个特殊的组,用于存储由Windows系统内部管理的帐户,例如用于特定服务的帐户。通常,你不应该直接更改此组的成员。
- Users:
- 这是一个默认的组,所有新创建的用户帐户都会成为此组的成员。默认情况下,用户具有执行大多数常规任务的权限,但不能更改系统设置或安装软件。
Access Control Assistance Operators此组的成员可以远程查询此计算机上资源的授权属性和权限。
Administrators管理员对计算机/域有不受限制的完全访问权
Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
Certificate Service DCOM Acce允许该组的成员连接到企业中的证书颁发机构
Cryptographic OperatorsIDevice Owners授权成员执行加密操作。此组的成员可以更改系统范围内的设置。
IDistributed COM Users成员允许启动、激活和使用此计算机上的分布式 COM 对象。
Event Log Readers此组的成员可以从本地计算机中读取事件日志
Guests按默认值,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多
Hyper-V Administrators此组的成员拥有对 Hyper-V 所有功能的完全且不受限制的访问权限。
IIS_IUSRSIntermet信息服务使用的内置组。
NetworkConfigurationOperators此组中的成员有部分管理权限来管理网络功能的配置
Performance Log Users该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序,以及在本地或通过远程访问此计算机来收集事件跟踪记录
IPerformance Monitor Users此组的成员可以从本地和远程访问性能计数器数据Power Users包括高级用户以向下兼容,高级用户拥有有限的管理权限
Print Operators成员可以管理在域控制器上安装的打印机
IRDS Endpoint Servers此组中的服务器运行虚拟机和主机会话,用户 RemoteApp 程序和个人虚拟桌面将在这些虚拟机和会话中运行。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要位于此组中。
IRDS Management ervers此组中的服务器可以在运行远程桌面服务的服务器上执行例程管理操作。需要将此组填充到远程桌面服务部署中的所有服务器上。必须将运行RDS中心管理服务的服务器包括到此组中。
IRDS Remote Access Servers此组中的服务器使 RemoteApp 程序和个人虚拟桌面用户能够访问这些资源。在面向 Intemet 的部署中,这些服务器通常部署在边缘网络中。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 网关服务器和 RD Web 访问服务器需要位于此组中。
Remote Desktop Users此组中的成员被授予远程登录的权限Remote Management Users此组的成员可以通过管理协议(例如,通过 Windows 远程管理服务实现的 WS-Management)访问 WMI资源。这仅适用于授予用户访问权限的 WMI 命名空间。
Replicator支持域中的文件复制
IStorage Replica Administrators此组的成员具有存储副本所有功能的不受限的完全访问权限。
ISystem Managed Accounts Group此组的成员由系统管理。
Users防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序
- Access Control Assistance Operators
- 功能:允许成员远程查询资源的授权属性和权限。
- 权限:可以读取访问控制列表(ACLs)以确定哪些用户或组有权访问特定资源。
- 作用:帮助支持人员解决用户访问问题,但不授予更改权限的能力。
- Administrators
- 功能:提供对计算机或域的所有资源和设置的完全访问权限。
- 权限:无限制地安装软件、更改安全设置、访问所有文件和目录等。
- 作用:管理整个系统,确保系统的正常运行和安全性。
- Backup Operators
- 功能:允许成员备份和还原系统文件,无论文件的权限设置如何。
- 权限:可以绕过文件和目录的权限来备份或恢复数据。
- 作用:确保在系统故障时能够恢复数据,同时防止未经授权的访问。
- Certificate Service DCOM Access
- 功能:允许成员通过DCOM与证书颁发机构(CA)通信。
- 权限:可以远程管理证书服务,如请求、颁发和吊销证书。
- 作用:支持证书服务的远程管理,确保证书的正确颁发和管理。
- Cryptographic Operators
- 功能:授权成员执行加密和解密操作。
- 权限:可以访问加密数据,但不能查看未加密的内容。
- 作用:支持加密任务的执行,同时保护敏感数据的机密性。
- Device Owners(注意:此描述可能与实际的Windows组有所不同)
- 功能:管理特定设备的设置和配置。
- 权限:可以更改设备相关的系统设置。
- 作用:确保设备所有者能够对其设备进行自定义配置和管理。
- Distributed COM Users
- 功能:允许成员启动、激活和使用分布式COM对象。
- 权限:可以跨进程和机器边界访问COM对象。
- 作用:支持分布式应用程序的运行,确保组件间的正确通信。
- Event Log Readers
- 功能:允许成员读取应用程序、安全和系统事件日志。
- 权限:可以查看日志条目以进行故障排除和监视。
- 作用:帮助支持人员诊断系统问题,了解系统活动。
- Guests
- 功能:提供有限的访问权限给未经身份验证的用户。
- 权限:通常限制在很少的任务上,如浏览网页或访问共享文件夹。
- 作用:保护系统免受未经授权用户的访问和潜在破坏。
- Hyper-V Administrators
- 功能:提供对Hyper-V虚拟化管理功能的完全访问权限。
- 权限:可以创建、修改、删除虚拟机和管理虚拟网络等。
- 作用:确保虚拟环境的正确配置和管理。
- IIS_IUSRS
- 功能:用于Internet Information Services (IIS)的内置组。
- 权限:允许访问IIS配置和Web服务器资源。
- 作用:确保IIS Web应用程序和服务的正常运行。
- Network Configuration Operators
- 功能:允许成员更改网络配置设置。
- 权限:可以更改TCP/IP设置和其他网络参数。
- 作用:支持网络配置的自定义和故障排除。
- Performance Log Users
- 功能:允许成员计划性能计数器日志记录和收集事件跟踪。
- 权限:可以配置性能日志和警报。
- 作用:帮助系统管理员监视系统性能并进行故障排除。
- Performance Monitor Users
- 功能:允许成员访问性能监视器工具。
- 权限:可以查看实时性能数据和历史报告。
- 作用:帮助用户和系统管理员了解系统性能和资源使用情况。
- Power Users(注意:此组在较新版本的Windows中已被弃用)
- 功能:提供高级用户权限,以向下兼容旧版应用程序。
- 权限:有限的管理权限,如安装软件和更改系统设置。
- 作用:在保持系统安全的同时,提供额外的用户功能。
- Print Operators
- 功能:允许成员管理网络打印机和打印作业。
- 权限:可以添加、删除和管理打印机队列。
- 作用:确保打印服务的正常运行和故障排除。
- RDS Endpoint Servers, RDS Management Servers, RDS Remote Access Servers
- 功能:与远程桌面服务(RDS)相关的组,用于管理RDS角色。
- 权限:可以配置和管理RDS组件,如会话主机、网关和Web访问。
- 作用:确保RDS环境的正确配置和远程访问的安全性。
- Remote Desktop Users
- 功能:允许成员通过远程桌面连接访问计算机。
- 权限:可以建立远程桌面会话。
- 作用:支持远程管理和用户访问。
- Remote Management Users
- 功能:允许成员通过管理协议(如WS-Management)访问WMI资源。
- 权限:可以远程查询和管理系统信息。
- 作用:支持系统的远程管理和监视。
- Replicator(注意:此组在较新版本的Windows中已不常用)
- 功能:支持域中的文件复制服务。
- 权限:可以复制文件和目录以保持数据一致性。
- 作用:确保文件复制服务的正常运行和数据同步。
- Storage Replica Administrators
- 功能:提供对存储副本功能的完全访问权限。
- 权限:可以配置和管理存储副本以实现数据复制和高可用性。
- 作用:确保数据存储的冗余和故障恢复能力。
- System Managed Accounts Group
- 功能:由系统内部管理的特殊组。
- 权限:通常不应直接修改此组的成员。
- 作用:保护系统账户免受意外或恶意更改。
- Users
- 功能:所有标准用户帐户的默认组。
- 权限:允许运行大多数应用程序和访问网络资源,但限制了对系统设置的更改。
- 作用:保护系统免受未经授权的更改,同时提供用户所需的基本功能。
浙公网安备 33010602011771号