我正在试验基于 Windows Server 2008 的家庭域网络。我最初认为,既然我是域管理员,那么我也应该拥有域中工作站的完全访问权限。然后我读到有关工作站上的“本地管理员”权限,现在似乎不那么明确了。
有人可以解释一下域管理员和本地管理员之间的关系吗?
如果我是域管理员,如何才能在所有域连接系统上获得本地管理员权限?我可以创建一些超级管理员帐户吗?如果有任何区别,我需要能够远程访问它们。
谢谢!
答案1
当您将工作站或服务器加入域时,域管理员组将添加到本地管理员组,域用户组将添加到本地用户组。只有在您使用 GPO 中的受限组功能更改这些组的组成员身份或手动更改这些组的成员身份时,才会出现这种情况。
授予每个组的用户权限范围正如其名称所暗示的那样:域管理员拥有域内的管理员权限,包括域内的所有工作站和服务器(域范围)。本地管理员拥有其所在工作站或服务器的管理员权限,但没有域内或其他工作站或服务器的权限(本地范围)。
答案2
域管理员组应自动成为任何给定域成员上的本地管理员组的成员,除非已明确将其删除。非域管理员可以添加到任何域成员上的本地管理员组。
答案3
没有什么是自动设置的。顾名思义,域管理员负责管理域,本地管理员负责管理本地计算机。默认情况下,域管理员组的成员对本地计算机拥有管理权限。为了澄清这一点,我的意思是域管理员组会自动添加到域 PC 上的本地管理组中。
或者,您可以在组策略中设置受限组来管理域 PC 上的本地组。使用此选项,您可以在 GPO 中将本地管理员帐户添加为受限组。您可以在受限组的“成员”部分中指定域或本地帐户/组。您可以使用此方法为另一个域组(例如“工作站支持”组)授予 PC 上的管理员权限。