Windows Server 2008在安装时会自动创建一些组，这种组叫内置组。内置组又分为内置本地组和内置域组，内置域组又分为内置本地域组、内置全局组和内置通用组。

1.内置本地组

内置本地组创建于Windows Server 2008/2003/2000/NT独立服务器或成员服务器、Windows XP和Windows NT等非域控制器的“本地安全账户数据库”中，这些组在建立的同时就已被赋予一些权限，以便管理计算机，如图5-29所示。

图5-29 内置的本地组

●Administrators：在系统内有最高权限，拥有赋予权限，拥有添加系统组件、升级系统、配置系统参数、配置安全信息等权限。内置的系统管理员账户是Administrators组的成员。如果这台计算机加入到域中，域管理员自动加入到该组，并且有系统管理员的权限。

●Backup Operators：它是所有Windows Server 2008都有的组，可以忽略文件系统权限进行备份和恢复，可以登录系统和关闭系统，可以备份加密文件。

●Cryptographic Operators：已授权此组的成员执行加密操作。

●Distributed COM Users：允许此组的成员在计算机上启动、激活和使用DCOM对象。

●Event Log Readers：此组的成员可以从本地计算机中读取事件日志。

●Guests：内置的Guest账户是该组的成员。

●IIS_IUSRS：这是Internet信息服务（IIS）使用的内置组。

●Network Configuration Operators：该组内的用户可在客户端执行一般的网络配置，如更改IP，但不能添加/删除程序，也不能执行网络服务器的配置工作。

●Performance Log Users：该组的成员可以从本地计算机和远程客户端管理计数器、日志和警告，而不用成为Administrators组的成员。

●Performance Monitor Users：该组的成员可以从本地计算机和远程客户端监视性能计数器，而不用成为Administrators组或Performance Log Users组的成员。

●Power Users：存在于非域控制器上，可进行基本的系统管理，如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；但是它不能修改Administrators组、Backup Operators组，不能备份/恢复文件，不能修改注册表。

●Print Operators：成员可以管理域打印机。

●Remote Desktop Users：该组的成员可以通过网络远程登录。

●Replicator：该组支持复制功能。Replicator组的唯一成员是域用户账户，用于登录域控制器的复制器服务，不能将实际用户账户添加到该组中。

●Users：是一般用户所在的组，新建的用户都会自动加入该组，对系统有基本的权力，如运行程序、使用网络，不能关闭Windows Server 2008，不能创建共享目录和本地打印机。如果这台计算机加入到域，则域内的域用户自动被加入到Users组。

●Certificate Service DOCM Access：允许该组的成员连接到企业中的证书颁发机构。

2.内置域组

活动目录中组按照能够授权的范围，分为内置本地域组、内置全局组、内置通用组和内置的特殊组。

（1）内置本地域组

内置本地域组代表的是对某种资源的访问权限。创建内置本地域组的目的是针对某种资源的访问情况而创建的。例如，在网络上有一个激光打印机，针对该打印机的使用情况，可以创建一个“激光打印机使用者”内置本地域组，然后授权该组使用该打印机。以后哪个用户或全局组需要使用打印机，可以直接将用户或组添加到“激光打印机使用者”，就等于授权使用打印机了。自己创建的本地域组，可以授权访问本域计算机上的资源，它代表的是访问资源的权限；其成员可以是本域的用户、组或其他域的用户组；只能授权其访问本域资源，其他域中的资源不能授权其访问。

这些内置的本地域组位于活动目录的Builtin容器内，如图5-30所示，下面列出几个较常用的本地域组。

●Account Operator：系统默认其组成员可以在任何一个容器（Builtin容器和域控制器组织单元除外）或组织单元内创建、删除账户，更改账户、组账户和计算机账户组，但不能更改和删除Administrators组与Domain Admins组的成员。

●Administrators：成员可以在所有域控制器上完成全部管理工作，默认的成员有Administrator用户、Domain Admins全局组、Enterprise Admins全局组等。

●Backup Operators：成员可以备份和还原所有域控制器内的文件和文件夹，可以关闭域控制器。

●Guest：成员只能完成授权的任务、访问授权的资源，默认时，Guest和全局组Domain Guests是该组的成员。

●Network Configuration Operators：其成员可以在域控制器上执行一般的网络设置工作。

●Pre-Windows 2000 Compatible Access：该组主要是为了与Windows NT 4.0（或更旧的系统）兼容，其成员可读取Windows Server 2008域中所有用户与组账户。其默认成员为特殊组Everyone。只有在用户使用的计算机是Windows NT 4.0或更旧的系统时，才将用户加入该组中。(www.daowen.com)

●Print Operators：其成员可以创建、停止或管理在域控制器上的共享打印机，也可以关闭域控制器。

●Remote Desktop Users：其成员可以通过远程计算机登录。

●Server Operators：其成员可以创建、管理、删除域控制器上的共享文件夹与打印机，备份与还原域控制器内的文件，锁定与解开域控制器，将域控制器上的硬盘格式化，更改域控制器的系统时间，关闭域控制器等。

●Users：默认时，Domain Users组是其成员，可以用该组来指定每个在域中账户应该具有的基本权限。

（2）内置全局组

当创建一个域时，系统会在活动目录中创建一些内置的全局组，其本身并没有任何权利与权限，但是可以通过将其加入到具备权利或权限的域本地组内，或者直接为该全局组指派权利或权限。

这些内置的全局组位于Users容器内。下面列出几个较为常用的全局组，如图5-31所示。

图5-30 内置的本地域组

图5-31 内置的全局组

●Domain Admins：域内的成员计算机会自动将该组加入到其Administrators组中，该组内的每个成员都具备系统管理员的权限。该组默认成员为域用户Administrator。

●Domain Computers：所有加入该域的计算机都被自动加入到该组内。

●Domain Controllers：域内的所有域控制器都被自动加入到该组内。

●Domain Users：域内的成员计算机会自动将该组加入到其Users组中，该组默认的成员为域用户Administrator，以后添加的域账户都自动属于该Domain Users全局组。

●Domain Guests：Windows Server 2008会自动将该组加入到Guests域本地组内，该组默认的成员为账户Guest。

●Enterprise Admins：该组只存在于整个域目录林的根域中，其成员具有管理整个目录林内的所有域的权利。

●Schema Admins：只存在于整个域目录林的根域中，其成员具备管理架构的权利。

●Group Policy Creator Owners：该组中的成员可以修改域的组策略。

●Read-only Domain Controllers：此组中的成员是域中只读域控制器。

（3）内置通用组

内置通用组和全局组的作用一样，目的是根据用户的职责合并用户。与全局组不同的是，在多域环境中它能够合并其他域中的域账户，例如可以把两个域中的经理账户添加到一个通用组。在多域环境中，可以在任何域中为其授权。

（4）内置的特殊组

特殊组存在于每一台Windows Server 2008计算机内，用户无法更改这些组的成员。也就是说，无法在“Active Directory用户和计算机”或“本地用户与组”内看到、管理这些组。这些组只有在设置权利或权限时才看得到。以下列出几个较为常用的特殊组。

●Everyone：包括所有访问该计算机的用户，如果为Everyone指定了权限并启用Guest账户时一定要小心，Windows会将没有有效账户的用户当成Guest账户，该账户自动得到Everyone的权限。

●Authenticated Users：包括在计算机上或活动目录中的所有通过身份验证的账户，用该组代替Everyone组可以防止匿名访问。

●Creator Owner：文件等资源的创建者就是该资源的Creator Owner。不过，如果创建是属于Administrators组内的成员，则其Creator Owner为Administrators组。

●Network：包括当前从网络上的另一台计算机与该计算机上的共享资源保持联系的任何账户。

●Interactive：包括当前在该计算机上登录的所有账户。

●Anonymous Logon：包括Windows Server 2008不能验证身份的任何账户。注意，在Windows Server 2008中，Everyone组内并不包含Anonymous Logon组。

●Dialup：包括当前建立了拨号连接的任何账户。