如何判断某个AD用户是否具有Server 2003框的pipe理权限? 我正在使用企业版。
这取决于服务器是否是域控制器。 如果它不是域控制器,则所有用户都具有pipe理员权限,这些权限是本地pipe理员组的成员(请参阅计算机pipe理>本地用户和组 – pipe理员。)
如果服务器是域控制器,那么pipe理员组成员或域pipe理员组或企业pipe理员组(如果存在域的林)的用户对该特定服务器具有pipe理权限。 域pipe理员组默认情况下是域中所有计算机上的所有pipe理员组的成员。
在这里您可以findActive Directory内置组和帐户的列表 :
pipe理员
在初始安装操作系统之后,该组的唯一成员是pipe理员帐户。 当一台计算机join一个域时,域pipe理员组被添加到pipe理员组中。 当服务器成为域控制器时,Enterprise Admins组也会添加到pipe理员组中。 pipe理员组具有内置function,可以使其成员完全控制系统。 该组是由该组成员创build的任何对象的默认所有者。
域pipe理员
一个全球组织,其成员有权pipe理该域名。 默认情况下,Domain Admins组是join域的所有计算机上的Administrators组的成员,包括域控制器。 域pipe理员是该组中的任何成员在域的Active Directory中创build的任何对象的默认所有者。 如果组的成员创build其他对象(如文件),则默认所有者是Administrators组。
企业pipe理员
仅存在于域的Active Directory林的根域中的组。 如果域处于纯模式,则它是通用组,如果域处于混合模式,则为全局组。 该组有权在Active Directory中进行全森林范围的更改,如添加子域。 默认情况下,该组的唯一成员是林根域的pipe理员帐户。
您也可以以用户身份login服务器时运行“gpresult”命令。 (如果在这种情况下是可能的话)
您将获得他们所属的组的良好列表,包括BUILTIN \ Administrators。
服务器本地组(例如服务器的pipe理员组)不能通过AD获得。 您必须查看服务器上的pipe理员组。 这篇文章有一个脚本,将远程枚举本地pipe理员组。
如果该框是成员服务器,请检查服务器上的本地pipe理员组。 如果它是“Active Directory用户和计算机”工具中的“pipe理员”和“域pipe理员”中的域控制器,请进行检查。