Gen*_*нин 19 active-directory groups domain-controller
在 Microsoft Docs 文章默认组中阅读了这两个组的描述:
域管理员
该组的成员可以完全控制域。默认情况下,该组在所有域控制器、所有域工作站和所有域成员服务器加入域时都是管理员组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
管理员
该组的成员可以完全控制域中的所有域控制器。默认情况下,域管理员和企业管理员组是管理员组的成员。管理员帐户也是默认成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
并且同一篇文章指出两个组对其默认用户权限的描述完全相同:
从网络访问这台计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任以进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审计和安全日志;修改固件环境值;型材单一工艺;型材系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
此外,Microsoft Docs 文章默认本地组包括对管理员组的以下描述:
该组的成员可以完全控制服务器,并可以根据需要为用户分配用户权限和访问控制权限。管理员帐户也是默认成员。当此服务器加入域时,Domain Admins 组会自动添加到该组中...”
[强调我的]
鉴于以上,我不明白:
此问题是问题的子问题,并在问题的上下文中提出:加入 AD 的机器的本地用户的上下文是域机器帐户还是本地机器帐户?
gWa*_*ldo 15
在将域控制器提升为该角色之前,它是一个简单的工作组(独立)服务器,并具有本地管理员帐户和本地管理员组。创建域时,这些帐户不会消失;它们作为域管理员帐户和域 builtin\Administrators 组合并到域中。
builtin\Administrators 组具有域控制器的管理访问权限,但不会自动授予域内所有计算机的管理访问权限,而 Domain Admins 是。
Sam*_*gan 11
域管理员组和 AD builtin\Adminstrators 组(不是客户端上的本地管理员组)有效地授予用户相同的权限,但是有一些细微的区别:
默认情况下,安装 Windows 时会创建 bultin/administrators 组。该组可以完全且不受限制地访问计算机。默认情况下,属于该组成员的唯一用户帐户是管理员。
域管理员组仅存在于 Windows 域中。该组对整个域具有完全且不受限制的访问权限,能够登录到作为域成员的任何 PC 或服务器。
当一个 pc/server 添加到域中时,域 admins 组会自动成为 builtin/administrators 组的成员,从而为域管理员提供对计算机的管理员级别访问权限。
如果您将帐户从域 admins 组移到 builtin/adminstrators 组,则该帐户将能够管理该本地计算机,但不能管理其他任何内容,除非您将该帐户添加到其他 builtin/adminstrators 组。
这是一个有简单和复杂答案的问题。
简单的答案是始终使用域管理员组。
复杂的答案是域管理员为域中的所有内容(DC、服务器和工作站)提供管理员权限。builtin\Administrators 最初只允许访问所有DC(它是一个本地组,但被复制)而不是服务器或工作站。但是,对 DC 的管理员访问权限可以将自己提升为域管理员。 因此,从安全观点来看,它们是等效的。
builtin\administrators 存在的主要原因是检查管理员访问权限的程序可以检查任何机器上的相同位置。
DC 是您城堡的钥匙,您永远不能将管理员授予一个而不是另一个(有效地)或本地服务器而不是整个域,因此不应拥有仅需要本地管理员访问权限的程序/文件。