在 Windows AD 域中,如何管理本地管理员帐户?我发现:
每台计算机都有一个管理员帐户(SID S-1-5-domain-500,显示名称 Administrator)。管理员帐户是 Windows 安装过程中创建的第一个帐户。
在 Windows 10 和 Windows Server 20016 中,Windows 安装程序会禁用内置管理员帐户,并创建另一个属于管理员组的本地帐户。管理员组的成员无需使用“以管理员身份运行”选项即可以提升的权限运行应用。
相比之下,在 Windows 客户端操作系统上,具有管理员权限的本地用户帐户的用户被视为客户端计算机的系统管理员。安装期间创建的第一个本地用户帐户被放置在本地管理员组中。
在这种情况下,可以使用组策略来启用安全设置,以便在每台服务器或客户端计算机上自动控制本地管理员组的使用。
每个帐户的密码应唯一。虽然对于单个用户帐户来说,这通常是正确的,但许多企业的常用本地帐户(例如默认管理员帐户)的密码相同。在操作系统部署期间对本地帐户使用相同的密码时,也会发生这种情况。
我的问题是:
- 在 AD 域基础架构中的 Windows 客户端上拥有本地管理员帐户是否必要/常见?
- 如果 1 为是,那么该本地用户(管理员组的成员)是否基本上以相同的 SID 部署到所有客户端?
- 如果 2 是肯定的,那么所有客户端的密码是否相同?
- 如果上述内容没有意义或确实有意义,您通常如何处理 Windows Active Directory 域上的客户端上的本地用户?
谢谢大家,保重!
答案1
即使计算机已加入域,也无法删除内置管理员帐户。它不必启用,但在企业环境中通常会启用,因为如果计算机因任何原因失去与域的连接,这是最简单的恢复方法。
每台客户端计算机的内置管理员帐户都有不同的 SID,但后缀始终为 500。(如果您使用克隆而没有正确准备映像,它们可能是相同的。)内置管理员帐户是管理员本地组的成员,并且那始终具有相同的 SID(S-1-5-32-544)。
没有什么可以阻止您在所有客户端上设置相同的本地管理员密码,但不建议这样做,因为这意味着如果一台计算机受到威胁,所有计算机都会受到威胁。
推荐的方法是使用微软 LAPS,它为每台计算机上的本地管理员帐户生成一个随机密码,并将其保存在 Active Directory 中,以便系统管理员在必要时可以查找。下载链接包含操作指南,可帮助您入门。