我正在努力学习管理帐户功能。我的问题具体是域管理员帐户和本地管理员帐户之间的区别。首次远程登录服务器或工作站时,是否需要先以域管理员身份登录,还是可以先以本地管理员帐户远程登录?此外,在哪些情况下,人们会想要使用本地管理员帐户而不是域管理员帐户?我一直在研究两者之间的区别,据我所知,似乎您希望使用本地帐户来执行特定于工作站的功能,使用域帐户来执行特定于域的功能。任何帮助都将不胜感激。
问候,乔希
答案1
默认情况下,域管理员组是所有成员服务器和计算机的本地管理员组的成员,因此,从本地管理员的角度来看,分配的权限是相同的。
在 Active Directory 上工作时,差异就出现了。域管理员拥有提升的权限来管理和更改它。
强烈建议不要将域管理员权限授予任何人,除了直接负责 AD 管理任务的人员。
例如,如果有人请求所有设备的管理权限,切勿授予他们域管理权限。而是通过受限组或 GPO 首选项将新 AD 组添加到所有设备的本地管理员组。
答案2
“第一次远程登录服务器或工作站时,需要先以域管理员身份登录,还是可以先以本地管理员帐户远程登录?”- 不是很重要,但首先请本地管理员在远程机器上本地启动主目录,这样如果您在域丢失时需要登录,它将启动得更快。
“此外,在哪些情况下人们会想要使用本地管理员帐户而不是域管理员帐户?”- 如果域崩溃。从备份恢复 DC 的唯一方法是以本地管理员身份登录。
“看来您希望使用本地帐户来执行特定于工作站的功能,并使用域帐户来执行特定于域的功能。”- 如果您是域管理员,请尝试以域管理员的身份执行所有操作,以避免亲自前往工作站。在某些情况下,不太聪明的程序员会强迫用户以提升的权限使用他们的应用程序。在这种情况下 - 不要授予该工作站域管理员权限,而应使用本地管理员。
答案3
域管理员是具有域内所有计算机(客户端和服务器)管理权限的域帐户。该访问级别应严格限制在授权管理员范围内。
本地管理员是一台计算机上的本地用户帐户,具有该计算机的管理访问权限,但对域中的任何其他计算机都无权访问,因为本地计算机之外的人无法识别该计算机。它主要用于无法连接到域控制器的情况,例如从域中移除计算机并重新加入域。(这是一种很常见的故障排除措施。)即使对于软件安装,它的用处也是有限的,因为它可能无法访问要安装的软件所在的网络共享。
介于两者之间的是普通域用户,该用户已(直接或间接)成为一台或多台计算机上的本地管理员组的成员。这样的用户可以使用普通用户权限访问服务器和域功能,但在选定的计算机上具有管理访问权限。对于需要管理员权限的应用程序、被允许破坏自己计算机的高级用户或可以进行客户端安装但不应(暂时)破坏王冠的初级管理员,这是首选解决方案。