同一用户在单个域中的所有服务器上具有管理权限,并且作为所有服务器中管理员组的一部分:
在 Windows 2003 服务器上,同一个域中的所有服务器上的同一个用户都被配置为管理员。
是否应将此用户设为域管理员的一部分,然后可以在所有服务器的管理员组中进行设置。这在技术上有何不同?
答案1
域管理员自动被授予域中所有机器的管理员访问权限,而无需在每个服务器上进行管理。
域管理员在每台机器上具有与本地管理员同等的访问权限,但本地管理员没有域级管理员资源的管理员访问权限。
这是主要点和区别——域凭证的集中管理与每个服务器上的单独凭证管理以及访问范围。
假设您想要更改管理员的密码,并且您有 100 台服务器,您是愿意在一个地方更新单个用户的凭据,还是愿意一次访问 100 台服务器来更新凭据?
同样,当您访问域级凭据时,它们会安全地从域资源传递到域资源,从而无需登录和/或存储每个设备的凭据。
假设您为管理员创建了一个新的内部网站或 Web 应用程序,需要 Windows 级身份验证。您是愿意将单个域用户的凭据添加并维护到允许列表中,还是为每个可能的机器级管理员帐户添加一个?