我可以将所有默认组(和用户)移动到 →builtin 吗?将其中一些放在 groups/users 文件夹中的原因是什么。例如:“允许的 RODC 密码复制组”。
答案1
内置容器是带有内置域 SID S-1-5-32 前缀的安全组的默认容器。给定内置安全主体的 SID 在每个 Windows 系统上都是相同的,并且不包含域 SID。
用户容器是用于非内置用户和组的默认容器。
没有理由将任何对象移入或移出内置容器。
“内置帐户和组的 SID 始终具有相同的域标识符值:32。此值标识域 Builtin,该域存在于运行 Windows Server 操作系统版本的每台计算机上。永远不需要区分一台计算机的内置帐户和组与另一台计算机的内置帐户和组,因为它们在范围内是本地的。”
答案2
BUILTIN 组是林中第一个域控制器的原始本地组(这就是 SID 中出现“32”的原因)。虽然所有组在某种意义上都是域控制器的本地组,但您会发现这些组本质上是域控制器的“共享”本地组。多年来,已经添加了更多此类域控制器特定组(例如“允许的 RODC 密码复制组”)
例子:
- 将用户添加到 BUILTIN\Remote Desktop Users 组可授予对域控制器的 RDP 访问权限
- 将用户添加到远程管理用户组可授予 WinRM 对域控制器的访问权限
- 打印操作员?这是域控制器上的打印机管理(您永远不应该这样做)。
这是我最容易理解的方式。最好的思考方式是 - 一般来说,你不应该将这些组用于其他任何事情。
至于它们是否可以移动?我通常不移动内置组,但如果您真的想清理,请查阅此文档,其中详细说明了哪些可以移动,哪些不能移动。请注意以下参考: