如何判断某个 AD 用户是否具有 Server 2003 的管理员权限?我使用的是企业版。
答案1
这取决于服务器是否是域控制器。如果是不是域控制器,所有用户都具有管理员权限,他们是本地管理员组的成员(请参阅计算机管理 > 本地用户和组 - 管理员。)
如果服务器是域控制器,则属于管理员组成员的用户或者域管理员组或者企业管理员组(如果存在域林)对该特定服务器具有管理员权限。域管理员组默认是域中所有计算机上所有管理员组的成员。
在这里你可以找到Active Directory 内置组和帐户列表:
管理员
操作系统初始安装后,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组将添加到管理员组中。当服务器成为域控制器时,企业管理员组也将添加到管理员组中。管理员组具有内置功能,可让其成员完全控制系统。该组是组成员创建的任何对象的默认所有者。
域管理员
一个全局组,其成员有权管理域。默认情况下,域管理员组是已加入域的所有计算机(包括域控制器)上的管理员组的成员。域管理员是该组任何成员在域的 Active Directory 中创建的任何对象的默认所有者。如果该组成员创建其他对象(例如文件),则默认所有者是管理员组。
企业管理员
仅存在于 Active Directory 域林的根域中的组。如果域处于本机模式,则为通用组;如果域处于混合模式,则为全局组。该组有权在 Active Directory 中进行林范围的更改,例如添加子域。默认情况下,该组的唯一成员是林根域的管理员帐户。
答案2
您还可以在以相关用户身份登录服务器时运行“gpresult”命令。(如果在这种情况下可能的话)
您将获得他们所属群组的详细列表,其中包括 BUILTIN\Administrators。
答案3
服务器本地组(例如服务器的管理员组)无法通过 AD 访问。您必须在服务器上的管理员组中查找。 这个帖子有一个可以远程枚举本地管理员组的脚本。
答案4
如果该框是成员服务器,请检查服务器上的本地管理员组。如果是域控制器,请检查 Active Directory 用户和计算机工具中的管理员和域管理员。