某公司员工正在将本地服务器从Windows Server2016迁移到2022。过去，你通常以管理员身份登录要服务器，现在你想要远程执行管理，并使用最低权限。
在AD DS中，有许多敏感的管理组，列举如下
企业管理员：此通用安全组位于 AD DS 林根域的 Users 文件夹中。 成员可以在林中的任意位置执行任何管理任务。
需要企业管理员成员身份的管理任务很少。 默认情况下，只有林根域中的管理员用户帐户属于企业管理员。
如果公司规模不大，其实只需要一个域即可，不需要企业管理员这一级别
域管理员：此全局安全组位于 AD DS 林中每个域的 Users 文件夹中。 成员可以在本地域中的任意位置执行任何管理任务。
默认情况下，只有本地域中的管理员用户帐户属于域管理员。
Schema Admins：此通用安全组位于林根域的 Users 文件夹中。 成员可以修改 AD DS 架构的属性。
架构更改不常发生，但影响却非常大。 默认情况下，只有林根域中的管理员用户帐户属于架构管理员。
同上，对于小规模企业架构管理员也不需要
管理员：此域本地安全组位于 AD DS 中的 Builtin 文件夹中 管理员本地组也存在于 AD DS 林中的所有计算机上。
管理员对域（或计算机）拥有完全且不受限制的访问权限。 通常，企业管理员和域管理员组将添加到林中所有计算机上的管理员组。