三叉戟

本页面只读。您可以查看源文件，但不能更改它。如果您觉得这是系统错误，请联系管理员。
#执行Windows Server案例管理
某公司员工正在将本地服务器从Windows Server2016迁移到2022。过去，你通常以管理员身份登录要服务器，现在你想要远程执行管理，并使用最低权限。
在AD DS中，有许多敏感的管理组，列举如下
企业管理员：此通用安全组位于 AD DS 林根域的 Users 文件夹中。 成员可以在林中的任意位置执行任何管理任务。 
需要企业管理员成员身份的管理任务很少。 默认情况下，只有林根域中的管理员用户帐户属于企业管理员。
<q>如果公司规模不大，其实只需要一个域即可，不需要企业管理员这一级别</q>
域管理员：此全局安全组位于 AD DS 林中每个域的 Users 文件夹中。 成员可以在本地域中的任意位置执行任何管理任务。 
默认情况下，只有本地域中的管理员用户帐户属于域管理员。
Schema Admins：此通用安全组位于林根域的 Users 文件夹中。 成员可以修改 AD DS 架构的属性。 
架构更改不常发生，但影响却非常大。 默认情况下，只有林根域中的管理员用户帐户属于架构管理员。
<q>同上，对于小规模企业架构管理员也不需要</q>
管理员：此域本地安全组位于 AD DS 中的 Builtin 文件夹中 管理员本地组也存在于 AD DS 林中的所有计算机上。 
管理员对域（或计算机）拥有完全且不受限制的访问权限。 通常，企业管理员和域管理员组将添加到林中所有计算机上的管理员组。