为什么添加到本地管理员组的域管理员行为不一样?

为什么添加到本地管理员组的域管理员行为不一样?

我的问题是......

当我向域添加新服务器时,如何授予域管理员与本地内置帐户“管理员”相同的权限,以避免域管理员不断升级超出他们所拥有的权限?

编辑:

这似乎引起了一些混乱,所以......

我有一个域,其中有一个域管理员组,我是该组的成员。我有一台新服务器,刚刚加入域,我可以在该服务器上登录,因为本地组“管理员”有成员“域管理员”。

因此,作为该服务器上的域管理员,我也被视为本地管理员。

现在假设我想在服务器上安装一个新的应用程序,这需要管理员权限。

我右键单击安装程序,然后选择“以管理员身份运行”并弹出通常的 UAC 对话框。

我将我的凭据放入其中(来自我的域帐户,与我用于登录服务器的凭据相同)...它使用验证消息拒绝这些凭据...“请求的操作需要提升”。

所以我的问题是......

当我属于域管理员组(该组是本地管理员组的成员)时,为什么我的域管理员凭据不足以允许我充当该框的本地管理员?

相反,我必须先将我的权限“提升”到本地计算机上名为“管理员”的帐户,然后我的帐户才被授予安装的权限。

答案1

Microsoft TechNet 文章https://technet.microsoft.com/en-us/library/dd759094(v=ws.11).aspx对此提供了一个完美的答案;并且这与以下事实有关:即使“本地管理员”帐户仍然使用“标准用户”令牌运行正常的日常活动。

用户帐户控制中的“使用完整管理员令牌运行”或“使用提升的令牌运行”是什么意思?

适用于:Windows Server 2008 R2

应用程序通常以标准用户访问令牌中授予的访问级别运行,即使应用程序是由本地管理员组成员启动的。“以完全管理员访问令牌运行”有时也称为“以提升的访问令牌运行”,意味着应用程序可以使用用户的完整管理员访问令牌,其中包括管理员安全标识符 (SID)。

注意用户必须以本地管理员身份登录,或者能够提供本地管理员组成员的凭据。

附注:虽然本文适用于 Server 2008 R2,但也适用于所有现代 Windows 客户端和服务器版本。

相关内容