我很難理解為什麼每次將新用戶添加到:群組:用戶,群組域名:內建時都會觸發 Windows 事件 id 4732(成員被添加到啟用安全的本地群組)。所以我猜這意味著他們已被添加到該組中Builtin\Users。
在閱讀了有關builtin\Users的更多資訊後,似乎這是作業系統在安裝作業系統時創建的所有用戶,包括本機帳戶。
為什麼builtin\Users 被視為啟用安全的群組?
每次向系統新增的非管理用戶時是否都應該觸發此事件?
如果我們在新建立帳戶後收到此事件,它是否被視為新的本機管理員帳戶或網域帳戶?
答案1
據我了解,它們是在設定活動目錄網域時新增的預設群組,這使它們能夠登入、執行備份以及與該群組關聯的其他任務。
許多預設群組都會自動指派一組使用者權限,這些權限授權群組成員在網域中執行特定操作,例如登入本機系統或備份檔案和資料夾。例如,Backup Operators 群組的成員有權對網域中的所有網域控制器執行備份作業。
預設群組位於「內建」容器以及「Active Directory 使用者和電腦」中的「使用者」容器中。內建容器包含使用本地域範圍定義的群組。使用者包括使用全域範圍定義的群組和使用網域本機範圍定義的群組。您可以將位於這些容器中的群組移至網域內的其他群組或組織單位 (OU),但無法將它們移至其他網域。