域管理员与 Windows AD DC 中的管理员

域管理员与 Windows AD DC 中的管理员

阅读 Microsoft Docs 文章后默认组这两个组的描述:

域管理员

该组的成员对域具有完全控制权。默认情况下,该组是所有域控制器、所有域工作站和所有域成员服务器(在加入域时)上的管理员组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”

管理员

该组的成员对域中的所有域控制器具有完全控制权。默认情况下,Domain Admins 和 Enterprise Admins 组是 Administrators 组的成员。Administrator 帐户也是默认成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”

并且同一篇文章指出,两组人对他们的描述完全相同默认用户权限

从网络访问此计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建页面文件;调试程序;启用计算机和用户帐户以信任委派;强制从远程系统关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审计和安全日志;修改固件环境值;分析单个进程;分析系统性能;从基座上移除计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。

此外,Microsoft Docs 文章默认本地组包括以下描述管理员团体:

该组成员对服务器具有完全控制权,并可以根据需要为用户分配用户权限和访问控制权限。管理员帐户也是默认成员。当此服务器加入域时,域管理员组会自动添加到此组...”

[重点是我的]

鉴于上述情况,我不明白:

  1. 它们之间有什么区别?
  2. 何时使用其默认版本?
  3. 如何使他们的参与专业化?
  4. 如果域管理员是管理员的成员,那么他们之间不是总是平等的吗?

这个问题是该问题的子问题,并在该问题的背景下提出加入AD的机器的本地用户上下文是域机器账户还是本地机器账户?

答案1

在域控制器被提升为该角色之前,它是一个简单的工作组(独立)服务器,并且具有本地管理员帐户和本地管理员组。创建域时,这些帐户不会消失;它们将作为域管理员帐户和域内置管理员组并入域。

Builtin\Administrators 组具有对域控制器的管理访问权限,但不会自动被授予对域内所有计算机的管理访问权限,而域管理员则可以。

答案2

域管理员组和 AD 内置管理员组(不是客户端上的本地管理员组)有效地授予其中的用户相同的权限,但是存在一些细微的差别:

  • Builtin\administrators 是域本地组,而域管理员是全局组
  • 域管理员是builtin\administrators的成员
  • 域管理员是每台客户端电脑上的本地管理员组的成员
  • 内置管理员组是为了提供与 AD 之前的系统的向后兼容性

答案3

安装 Windows 时会默认创建 bultin/administrators 组。此组对计算机具有完全且不受限制的访问权限。默认情况下,此组的唯一成员用户帐户是管理员。

域管理员组仅存在于 Windows 域中。该组对整个域具有完全且不受限制的访问权限,能够登录域中的任何 PC 或服务器。

当一台 PC/服务器被添加到域中时,域管理员组会自动成为内置/管理员组的成员,从而为域管理员提供对计算机的管理员级别访问权限。

如果您将帐户从域管理员组移动到内置/管理员组,则该帐户将能够管理本地计算机,但不能进行其他任何操作,除非您将该帐户添加到其他内置/管理员组。

答案4

这是一个答案既简单又复杂的问题。

简单的答案是始终使用域管理员组。

复杂的答案是,域管理员将域中所有内容(DC、服务器和工作站)的管理权授予域中。builtin\Administrators 最初仅授予访问权限全部DC(它是本地组,但被复制),但不是服务器或工作站。然而对 DC 的管理员访问权限使其能够提升为域管理员。 因此从安全角度来看,它们是等效的。

Builtin\administrators 存在的主要原因是,检查管理员访问权限的程序可以在任何机器上检查相同的位置。

DC 是您城堡的钥匙,您永远不能将管理员权限交给一个而不交给另一个(有效地)或交给本地服务器而不交给整个域,因此不应该在其上安装只需要本地管理员访问权限的程序/文件。

相关内容