已经从另一位顾问手中接过了一位客户。
当前文件服务器(即成员服务器)已加入域。但是,如果您查看控制面板>管理面板>本地用户或帐户
domain_name\Administrator 未添加到本地帐户的服务器中。我以前从未真正关注过这个问题,只是在查看某些文件夹的 ntfs 安全设置时偶然发现的。这意味着 domain_name\administrator 未在 ntfs 安全中明确设置,但我假设由于该人是创建者,他们实际上可以基于该用户进行控制。
是否不应明确将 domain_name\Administrator 添加到其中(这是成员服务器的一部分)?
谢谢。gd
答案1
不,默认情况下不会明确添加域帐户。最佳做法是永远不要将单个帐户添加到服务器。始终创建一个域级组并将其添加到服务器上的本地组。如前所述,默认情况下会添加域管理员组,而不是帐户。请查看有关管理组的最佳实践的网络广播
TechNet 网络广播:Windows Server 2003 管理系列(第 4 部分,共 12 部分):组管理(级别 200)
答案2
TheCleaner 的回答对我来说听起来有点不清楚,所以我要尝试一下。
默认情况下,当您将 Windows 计算机加入域时,域中的“DOMAIN\Domain Admins”组将加入加入计算机的“Administrators”组。“DOMAIN\Domain Users”将加入加入计算机的“Users”组。
默认情况下,“DOMAIN\Administrator”帐户是“DOMAIN\Domain Admins”的成员。由于“DOMAIN\Domain Admins”组会加入到您加入域的每台计算机上的“Administrators”组,因此“DOMAIN\Administrtor”用户将成为加入域的每台计算机上的“Administrators”组的成员。
(题外话:如果你愿意的话,你可以用“受限组”策略覆盖这种行为,但这是另一个问题,也是另一个棘手的问题。)
答案3
DOMAIN\Administrator 是域帐户,而不是本地帐户。因此,它应该在管理员组的 GROUPS 部分中(隐式或显式)列出。
因此,它要么在该组列表中显示为“DOMAIN\Administrator”,要么包含在该组列表中的“DOMAIN ADMINISTRATORS”中。
这假设其中任何一个都属于该组。
如果没有,您可以在组中设置它们。
您需要使用 Active Directory 用户和计算机来检查域的管理员帐户属于域本身中的哪些组(例如域管理员)