对于不在域中的计算机,标准帐户和管理员帐户非常明确。标准帐户无法执行管理员功能(如果 UAC 已启用,则无需提升权限),而管理员帐户可以,
但是,对于加入 Active Directory 域的计算机,区别似乎更加模糊。一些用户可能拥有某些管理员权限,而其他用户可能没有。一些用户可能能够执行某些管理任务,而其他用户则不能,等等...
如何明确区分?如果一个账户甚至一些管理权限,是管理员吗?如果没有完全权限,是标准帐户吗?
那当地的管理员与……领域管理员?
另外,例如,有权访问管理命令提示符的用户怎么办?他们可以在本地计算机上进行任何更改,但不能更改自己的用户帐户,例如将自己设为管理员,除非他们被授予该权限。但这似乎并不重要
答案1
我不会说区别“更模糊”,只是你拥有更细致的控制。
域管理员是绝对的超级用户,他可以做任何事情。特别是在较大的组织中,您可能希望委派某些管理权限,而无需让每个人都成为域管理员。例如,您可以在一个大部门中定义一两个人,他们有权为自己的团队成员重置密码,这样这些请求就不必通过 IT 支持。但即使在 IT 部门内部,您可能也希望让一个人负责互联网服务器的管理。此人不需要拥有与(内部)用户管理相关的任何权限。
简而言之,您可以使用非常简单的术语(例如“管理员”和“标准用户”)来设置域,就像在单台计算机上一样。但大多数情况下,您会希望利用更好的控制可能性。
至于您的另一个问题,我建议您参考:https://serverfault.com/questions/174200/domain-admins-vs-administrators-in-windows-ad-dc
答案2
开箱即用的区别完全相同,但由于可用控制级别更加精细,管理员可能会混淆。
当计算机加入 Windows Server 域时:
- “域用户”组被添加到本地“用户”组 - 这意味着所有用户都获得与本地用户相同的权限。
- “域管理员”组被添加到本地“管理员”组 - 这意味着所有域管理员都成为您机器的本地管理员。
不过,有几种方法可以让事情变得更加复杂:
组策略可用于委派额外的权限。 组策略首选项可用于添加、删除、替换或以其他方式篡改任何本地组的成员资格(您可以通过转到start
> run
>lusrmgr.msc
并查看“组”容器来查看您的本地组)
组策略还可用于允许某些用户执行他们通常无法作为受限用户执行的操作,例如作为服务登录、远程桌面计算机、在没有 UAC 提升的情况下更改系统时间 - 请参阅此 Technet 链接对于可以委托的权利的很长的列表(不会在答案中发布,因为它已经很长了)
一些活动目录组也有特殊权限。例如“帐户操作员”组。加入该组后,用户可以重置其他用户的密码,允许从域中删除/移除计算机以及执行一系列其他功能 - 但不允许进行降级/升级域控制器、创建新域或以其他方式干扰 AD 架构的更改。 这篇 Technet 文章解释标准开箱即用域上的默认组及其权限。
还有其他方法可用于修改权限(powershell 启动脚本来更改注册表权限、打印机自动映射、软件自动安装等) - 但要深入研究所有这些可能性将使这个答案无穷无尽。如果您可以提供您感兴趣的安全和权限类型的更具体示例,或者给我们一个基于场景的问题,我们可以给出更有针对性的答案。