我是 Windows 管理新手。我设置了 Active Directory 并创建了域管理员成员用户。
我已经创建了另一台 Windows 服务器,并以域管理员用户身份通过 RDP 登录,但似乎无法修改文件。每次我这样做时,系统都会提示“您无权打开此文件。等等...”。
我查看了文件夹和文件权限,似乎只有本地管理员对其拥有权限(并且是所有者)。
我是不是漏掉了什么,还是这只是我对域管理员概念的误解?我以为他们默认对域中的所有内容都拥有权限。
编辑:似乎使用内置帐户来管理计算机/域(又称 ActiveDirectory 的本地管理员)是可行的。但是当我将用户添加到与 AD 本地管理员相同的组中时,却不行。不知道为什么。
谢谢
答案1
我甚至认为存在一些误解。
作为当地“行政人员s“组”与本地“管理员”帐户并不完全相同。是的,通常是组成员身份授予权限。但它们仍然是不同的实体,并且如果文件的 ACL具体来说授予“管理员”帐户访问权限,则只有该帐户才能访问 - “管理员”组的成员不会自动获得访问权限。ACL 需要明确包含该组。
默认情况下,本地管理员权限不允许您绕过 ACL。它们仅允许您接管文件和制作您可以自己访问它们,但是它们仍然不允许您在没有被授予访问权限的情况下简单地访问内容。
(好吧,这是个小谎言;具有本地管理员权限的进程能激活 SeBackupPrivilege 并能够读取通常无法访问的文件。但这不是故意自动执行的,大多数程序都不会这样做。)
如果计算机启用了 UAC,则本地管理员的成员身份是特殊的,并且会被 UAC 过滤掉,除非您以“提升”的权限运行该程序。
最后,域管理员不会固有地本地管理员。此组的目的是拥有 Active Directory 域数据库的管理权限 - 而不是计算机本身的管理权限。(DC 除外。)
使域管理员成为本地管理员的唯一条件是加入本地“管理员”组,这很常见。通常整个域管理员组都是成员。
但是,由于域管理员高度特权(因为他们可以破坏或危及整个域),强烈不建议使用域管理员帐户进行常规服务器或工作站管理,并且为了强制执行此操作,通常使用 GPO 撤销他们的本地管理员权限。
用于
whoami /groups检查您作为域管理员是否实际上是管理员成员。您在 AD 中看到的“本地”管理员组仅适用于域控制器本身,因为它们没有单独的本地帐户。它不会影响其他成员计算机。
答案2
您遇到了 Active Directory 管理员组和域管理员组之间的权限差异。
这里的术语需要一些解释。
活动目录管理员对域中的所有域控制器拥有完全权限,但不会自动获得对域中所有计算机的管理访问权限。
本地管理员计算机实际上位于域之外,并且具有在本地机器上执行任何所需操作的全部权力,该机器是域的一部分。
域管理员还自动成为域中每台成员计算机的本地管理员组的成员。他们还自动成为 Active Directory 管理员组的成员。
您可能会认为域管理员比 Active Directory 管理员拥有更多的权限。
您使用的帐户显然是 Active Directory 管理员。如果您想完全控制本地级别的所有计算机,则需要创建域管理员帐户。
不建议强制将您的 Active Directory 管理员帐户添加到本地管理员组,因为这将隐式地对所有此类帐户进行操作,而不仅仅是对指定的帐户进行操作。