我很难理解为什么每当有新用户添加到组:用户组,组域名:内置时,都会触发 Windows 事件 ID 4732(将成员添加到启用安全的本地组)。所以我猜这意味着他们被添加到组中Builtin\Users。
在阅读了有关builtin \ Users的更多信息后,似乎它是操作系统在安装操作系统时创建的所有用户,包括本地帐户。
为什么builtin\Users被视为安全启用组?
每次向系统添加新的非管理用户时都会触发此事件吗?
如果我们在新建帐户后收到此事件,该帐户是否被视为新的本地管理员帐户或域帐户?
答案1
据我了解,他们是在设置活动目录域时添加的默认组,使他们能够登录、执行备份和执行与该组相关的其他任务。
许多默认组都会自动分配一组用户权限,授权组成员在域中执行特定操作,例如登录本地系统或备份文件和文件夹。例如,备份操作员组的成员有权对域中的所有域控制器执行备份操作。
默认组位于 Active Directory 用户和计算机中的内置容器和用户容器中。内置容器包括使用域本地范围定义的组。用户包括使用全局范围定义的组和使用域本地范围定义的组。您可以将位于这些容器中的组移动到域内的其他组或组织单位 (OU),但不能将它们移动到其他域。