กลุ่ม BUILTIN เป็นกลุ่มภายในดั้งเดิมของตัวควบคุมโดเมนแรกในฟอเรสต์ (ซึ่งเป็นสาเหตุที่ "32" อยู่ใน SID) แม้ว่ากลุ่มทั้งหมดจะอยู่ในโลคัลของตัวควบคุมโดเมน คุณจะพบว่ากลุ่มเหล่านี้โดยพื้นฐานแล้วเป็นกลุ่มโลคัล "ที่ใช้ร่วมกัน" ของตัวควบคุมโดเมน ในช่วงหลายปีที่ผ่านมา มีการเพิ่มกลุ่มเฉพาะของตัวควบคุมโดเมนเหล่านี้มากขึ้น (เช่น "กลุ่มการจำลองรหัสผ่าน RODC ที่อนุญาต")
ตัวอย่าง:
- การเพิ่มผู้ใช้ลงในกลุ่ม BUILTIN\Remote Desktop Users ให้สิทธิ์การเข้าถึง RDP ไปยังตัวควบคุมโดเมน
- การเพิ่มผู้ใช้ลงในกลุ่มผู้ใช้การจัดการระยะไกลมอบ WinRM
เข้าถึงตัวควบคุมโดเมน
- Print Operators? นี่คือการจัดการเครื่องพิมพ์บนตัวควบคุมโดเมน (ซึ่งคุณไม่ควรทำเลย)
นั่นเป็นวิธีที่ง่ายที่สุดสำหรับฉันในการทำความเข้าใจ วิธีที่ดีที่สุดที่จะนึกถึงพวกเขา - โดยทั่วไป คุณไม่ควรใช้กลุ่มเหล่านี้เพื่อสิ่งอื่นใด
ย้ายได้หรือไม่? โดยปกติแล้วฉันจะปล่อยกลุ่ม BUILTIN ไว้ตามลำพัง แต่หากคุณกระตือรือร้นที่จะล้างข้อมูลจริงๆ ให้อ่านเอกสารนี้ซึ่งมีรายละเอียดสำหรับคุณว่ากลุ่มใดย้ายได้และย้ายไม่ได้ ฟังข้อมูลอ้างอิงนี้:
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...