一、Administrator组

在UNIX下，如果你有ROOT权限，那你就可以控制整台SERVER了。
在NT SERVER下，如果你有Administrator权限，整台SERVER就归你了。
在NT SERVER下，Administrator组有一些限制性，因为Administrator组是本地组。还有一个为用户提供管理权限的组就是Domain Admins组，这个组是全局组。
本地的Administrator组自动包含全局的Domain Admins组。因此，如果你想使用一个用户拥有对域及其委托域的管理权限，就应该让其成为全局组的Domain Admins组的成员，而不是Administrator组的成员。如果你想让他成为本地域的管理员，只控制本地域，那么就应该让他成为本地的Administrator组的成员。
所以，说只要有Administrator的权限，就可以管理整台SERVER了。但是，缺省的Administrator帐号存在潜在的安全危险性，Administrator是黑客常攻击的对象。入侵者可以无休止的尝试Administrator的密码验证，以破获密码。
解决这个问题的最好办法就是重新命名管理员帐号。在重新命名了缺省的Administrator帐号之后，还要设置一个令人难以猜测的口令。就OK了。。。
希望这个解决办法能给你一点启发。。。：）

二、Everyone组

Everyone组是WINDOWS上对系统所有资源具有完全控制权的缺省组。Everyone组中包括所有用户，除了非委托域的用户。如果你与其他域建立了委托关系，那么Everyone组将包括委托域中的用户。这就意味着即使你认为还没有给委托关系域上的用户授予访问权限，事实上你却已经授予了。
为了避免这种情况的发生，你应该删除WINDOWS NT设置在所有资源上的缺省权限（Everyone组），你应该设置以DOMAIN USERS组代替Everyone组来拥有对资源的全面控制权。WINDOWS NT安装后，默认目录权限，Everyone 完全控制。
如果，你想让你的SERVER安全些，那么，就要把Everyone删掉或者降低他的权限。

三、Guest组

人见人爱的Guest组是不是大家都知道这个组是做什么的呢？
Guest组是系统管理员用于对系统资源进行低级访问的本地组，一般情况下请不要为这个组指定什么成员呀。那样会出事的。。呵呵。
在缺省的情况下，WINDOWS NT将使全局的Domain Guest组成为本地的Guest组的成员。由于系统的Guest帐号是Domain Guest组的成员，所以系统会对任何没有用户帐号而以系统的Guest身份登录访问全域资源的用户进行身份验证。
在安装WINDOWS NT时，系统创建了两个缺省的帐号：Administrator帐号和Guest帐号。在缺省的情况下，WINDOWS NT SERVER是禁止Guest帐号使用的。与其他域帐号一样，Guest帐号属于Everyone组中的一部分。Guest帐号给人一种不安全感。但是，如果你特别想要Guest帐号，那么或者删除Everyone组，或者重新命名Guest帐号，或者创建一个新的Guest帐号。
呵呵。。Guest怎么变成了人见人揣的帐号了呢？：（

四、Interactive组

Interactive这个你们应该很熟悉了。呵呵，就是“交互”呀。是制任何在本地计算机上登陆的用户。Interactive组只包含当前正在这台计算机上登录的用户的相应帐号。当用户登录后，WINDOWS NT操作系统自动地使他成为Interactive组的成员。管理员应该利用Interactive组给那些在本地访问资源的用户授予不同的访问权限。
不信，你可以做这个实验，让域用户里的用户登陆到这个NT SERVER里的任何一个目录中。条件是：只要这个目录有Network和Interactive组。
这个我试过的。很不错。。：）

五、Network组

WINDOWS NT中有一些象Network组这样的组，系统管理员无法控制他们。Network组包含的用户都是从本地机访问资源，不管用户是从哪来访问资源。如果你是系统管理员，想要设置资源的访问权限，以便使从网络上访问资源的用户拥有与在本地访问资源的用户不同的访问权限，那么可以利用Network组来设置权限。如：你可以设置某个文件，当用户从网络上访问他时，根本无法打开文件并观看其内容。但是，如果用户是从资源所在的WINDOWS NT计算机上访问该资源时，用户可以完全控制她。
有时合理的用Network组和Interactive组，可以实现一些特殊的功能。
在FRONTPAGE扩展模块装完后，目录权限里会自动的添加 Network组和Interactive组。

六、Print Operators组的定义

Print Operators组中的成员用户可以创建打印机、执行打印、计划打印次数，为其他用户设置打印权限、创建打印机缓冲池和执行许多其他任务。
Print Operators组允许你把创建和管理打印设备的所有权利授予一个用户。你在USER MANAGER FOR DOMAINS的“Rights"对话框中给予Print Operators组的真正权利就是“在本地登录”和“关闭系统”。

七、Server Operators组

Server Operators组给予成员的权利有：备份文件和目录、改变系统时间、强行关闭远程系统、恢复文件和目录、关闭系统等。其中可以执行的一项任务就是扩展卷集，只要该卷集是跨NTFS驱动器的。Server Operators组是包含管理权限子集的WINDOWS NT本地组。