超级管理员
超级管理员(Administrators)是安装系统时内置的一个用户组,所有管理员用户都在这个组下。
Administrator用户默认在这个组,在安全模式情况下是启动切换到超级管理员后可以设置其他用户的权限。一般网站也会设置超级管理员,用来管理注册用户或者具有一定权限的其他管理员,维护网站的运行。
基本信息
- 中文名
超级管理员
- 外文名
Administrators
- 定义
一个包含所有管理员用户的用户组
- 特点
具有管理员权限
- 所属用户域
BUILTIN
- SID
S-1-5-32-544
Administrators概述
Administrators是Windows中预设的一个用户组,介绍是:管理员对计算机/域有不受限制的完全访问权。这个组包含了所有的Windows管理员用户账户,加入这个组的用户账户就会自动成为管理员并拥有系统管理权。1这个组的成员所具有的权限是所有真人用户中最高的。自从Windows Vista开始,Administrators的成员默认不再具有系统最高权限。
Administrators成员
名称 | 类型 | SID |
|---|---|---|
(域名)\Administrator | 预设用户,不可移除 | S-1-5-21-(域ID)-500 |
NT AUTHORITY\SYSTEM | 内置安全主体,不可移除,没有密码且不可设立密码 | S-1-5-18 |
(其他用户账户) | 自定义用户或其他内置安全主体,可移除 | N/A |
注:可以通过“本地用户和组”等管理工具更改这个组的成员。23
Administrators组默认权限
文件与文件夹权限
完全控制根目录及以下的所有子文件与子文件夹(非系统分区)
修改当前文件夹并完全控制其子文件夹并读取和执行子文件(系统分区下的WINDOWS、Program Files和Program Files (x86)文件夹)
读取、写入和执行当前文件夹并完全控制其子文件与子文件夹(系统分区下的Boot文件夹)
完全控制(系统分区下的其他文件夹或文件)2
组成员用户特权
特权名 | 描述 | 特权状态 |
|---|---|---|
SeIncreaseQuotaPrivilege | 为进程调整内存配额 | 已禁用 |
SeSecurityPrivilege | 管理审核和安全日志 | 已禁用 |
SeTakeOwnershipPrivilege | 取得文件或其他对象的所有权 | 已禁用 |
SeLoadDriverPrivilege | 加载和卸载设备驱动程序 | 已禁用 |
SeSystemProfilePrivilege | 配置文件系统性能 | 已禁用 |
注:特权分配可以在本地安全策略中更改,这里的特权仅针对除SYSTEM外的管理员4
注册表权限
特殊(HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM以及它们的子项与值)
完全控制(其他所有内容)5
进程权限
特殊(所有内核级进程和大部分系统服务)