假设域中有一台计算机 A。这台计算机有 2 个“管理员”登录帐户,“administrator”和“domain\administrator”
它们有何不同?
我是使用域管理员还是计算机管理员来操作计算机,我的操作有什么区别吗?最佳做法是什么?保留两者?
答案1
任何 Windows 计算机 (*) 都有一个本地用户数据库,其中包含本地用户帐户和本地组;这些用户帐户可以根据其权限在计算机上执行操作(登录、启动程序、配置设置......),但在其他任何地方均无效,因为它们只存在于该计算机上。
任何域都有一个域用户数据库,其中包含(除其他内容外)域用户帐户、域组和域计算机。当计算机加入域时,域用户将成为该计算机上的有效用户,并且他们可以根据自己的权限对该计算机执行操作;默认权限如下:
- 所有域用户都是域组“域用户”的成员。
- 所有域管理员都是域组“域管理员”的成员。
- 域组“域用户”是每个域计算机上本地“用户”组的成员。
- 域组“域管理员”是每个域计算机上本地“管理员”组的成员。
这意味着,根据默认设置,域用户是每台域计算机上的有效用户,并且域管理员对所有计算机都拥有管理权限。
使用本地帐户时,您只能根据您的权限对本地系统执行操作。使用
域帐户时,您可以根据您的权限对所有域计算机执行操作(例如打开网络共享、运行远程管理工具等)以及对域本身执行操作(例如配置用户帐户、策略等)。
(*) 域控制器是唯一的例外,因为它们没有本地用户数据库;它们只与域用户和组一起工作。
答案2
本地管理员帐户对本地计算机具有完全控制权。这是一个默认帐户,并且是必需的。系统加入域时会添加域\管理员。这使计算机可以作为域管理员访问网络资源。当然,域和本地系统的安全性配置方式也会产生影响。
答案3
本地管理员帐户很重要。要运行 Windows 启动修复,您需要使用本地凭据进行身份验证,以及许多其他需要它的事情。