当计算机加入域后,可以通过域内用户进行登录。与本地用户不同,域内用户的信息存储在域控制器(DC)中,用户的添加、密码修改等操作均需在域控制器上执行。
域用户组的层级关系
域用户组种类繁多,且彼此之间存在层级关系。一个用户组可以是其他用户组的成员,从而形成隶属关系。以下将按照权限从高到低的顺序,介绍几个关键的用户组:
1. 企业系统管理员组(Enterprise Admins)
- 权限范围:跨域森林的最高权限。
- 隶属关系:
- 默认是根域中Administrators组的成员。
- 默认包含在所有子域的Administrators组中。
- 特性:可对整个域森林的所有域控制器进行全面管理。
2. 域管理员组(Domain Admins)
- 权限范围:单个域内的最高权限。
- 隶属关系:
- 默认是域内Administrators组的成员。
- 自动添加到域内每台成员计算机的本地Administrators组中。
- 特性:继承Administrators组的全部权限,可以完全控制所在域的所有资源。
3. 管理员组(Administrators)
- 权限范围:不受限制地访问域和计算机资源,是活动目录和域控制器中默认的管理员组。
- 隶属关系:
- 包含Enterprise Admins和Domain Admins组的成员。
- 也可以包含其他自定义高权限账户或组。
- 特性:负责管理域控制器、活动目录和域策略。
4. 域用户组(Domain Users)
- 权限范围:普通用户权限,主要用于日常操作。
- 隶属关系:
- 默认包含所有创建的域用户。
- 自动添加到域内计算机的本地Users组中。
- 特性:权限有限,无法直接执行高权限操作,需要管理员授权或UAC认证。
5. 域计算机组(Domain Computers)
- 权限范围:计算机账户的身份验证和资源访问。
- 隶属关系:
- 包含所有加入域的计算机账户(机器账户)。
- 特性:
- 权限仅用于机器间认证和组策略应用。
提示:要新增域管理员,应将用户添加至Domain Admins组,而非域控的Administrators组。
隶属关系分析
- Enterprise Admins(最高层)
↳ 默认属于根域的Administrators组 - Domain Admins
↳ 默认属于所在域的Administrators组
↳ 自动加入每台域内计算机的本地Administrators组 - Administrators
↳ 包含Domain Admins和Enterprise Admins组
↳ 可包含其他高权限用户组或个体账户 - Domain Users
↳ 默认添加到域内计算机的本地Users组 - Domain Computers
↳ 不隶属于其他组,主要管理计算机身份认证。
机器用户与SYSTEM账户对比
机器用户与system用户都是计算机本身的用户,不需要用户干预,由系统自动控制。
机器用户(Machine Account)
- 定义:为计算机本身创建的特殊账户,用于在域环境中进行身份验证和资源访问。
- 权限:机器用户位于域计算机组,其权限高于普通用户,低于系统账户。
- 功能:
- 在域中验证身份。
- 从域控制器下载组策略。
- 与其他计算机建立信任关系,交换安全信息。
- 特性:
- 账户名通常以计算机名加后缀表示,如“ZS-PC$”。
- 密码由系统自动管理并定期同步至域控制器。
SYSTEM账户
- 定义:本地计算机上的特殊账户,用于运行系统服务和进程。
- 权限:是本地权限最高的账户,但仅限于本机。
- 特性:
- SYSTEM账户可访问注册表中某些关键位置。
关系与区别
| 比较项 | 机器账户 | SYSTEM账户 |
|---|---|---|
| 身份作用 | 用于域认证和资源访问 | 用于本地服务运行,权限不涉及域环境 |
| 交互场景 | 计算机加入域后,机器账户信息同步到域控制器 | 本地SYSTEM账户在特定场景下可代表机器账户访问域资源 |
本地登录与域内登录的区别
本地登录
- 用户信息:存储在本地文件中,认证由本机完成。
- 认证方式:主要依赖NTLM哈希值。
- 账户格式:
计算机名\用户名。
域内登录
- 用户信息:存储在域控制器上,认证需通过域控制器完成。
- 认证方式:使用Kerberos协议。
- 账户格式:
域名\用户名。
域内用户权限对比
域内最高管理员权限
域名\Administrator是域内权限最高的账户:
- 权限:不受UAC限制,默认是每台域内计算机的本地管理员。
- 特性:
- 与本地
计算机名\Administrator账户权限相同。 - 唯一性:SID最后一位为500,系统中仅此一例。
- 与本地
域内普通管理员权限
域内普通管理员是指加入Domain Admins组但不是Administrator账户的用户:
- 权限:拥有域管理员权限,但某些操作仍需UAC认证。
- 限制:执行高权限操作时,需右键选择“以管理员身份运行”来提升权限。
域内普通用户权限
域普通用户是Domain Users组的成员:
- 特性:
- 默认加入域内计算机的Users组,无法直接执行高权限操作。
- 关键操作需管理员凭据或UAC认证。