我的问题如下:
如果域管理员是每个本地管理员组的成员,那么这是否意味着域管理员用户(比如说“test”)可以通过(比如说 RDP)本地登录到域计算机,例如通过输入“dom_machine\test”?
另外,为什么你在域机器上运行的时候看不到net user所有域管理员呢?
我没有测试环境来检查它,所以我很高兴知道。
谢谢!
答案1
总结:
不,不是那样的。你似乎混淆了一些东西!;)
较长的版本:
拥有在域计算机上执行某项操作的权限与在该计算机上本地创建用户之间存在差异。
登录后会发生什么通常是加入域的计算机询问域控制器该用户是否存在于此域中。如果您将域部分更改为本地计算机的名称。它将不再询问域控制器,而是询问本地计算机用户是否存在。如果您没有在该计算机上创建相同的用户。它将不允许您进入。所以这只是一个您在哪里创建用户的问题。
您希望在域控制器上创建用户的原因在于,与在每台机器上分别创建用户相比,在域控制器上创建用户更易于管理。因为每次您需要更改该用户的任何内容(例如密码)时,您都必须到每台机器上进行更改。
当你尝试做某事时会发生什么作为域用户,计算机会询问域控制器(如果是本地用户,则询问本地计算机)用户拥有哪些权限,如果域控制器中指定的权限与执行任务所需的权限相匹配,则将继续。否则,它会告诉您,您无权执行您尝试执行的操作。
因此,虽然域管理员可能位于本地管理员组中(具有与本地管理员相同的权限),但这与在本地计算机上创建的帐户并不相同。
关于net user命令:此命令获取本地帐户列表。由于它不会向域控制器询问在那里创建的用户,因此不会显示这些用户。(这是设计使然,因为让域用户知道在域中创建的所有用户会造成安全漏洞。)
我建议您多读一些有关域网络概念的内容。我不知道您的设置是什么样的。但我感觉您只在域控制器上创建了域管理员?如果是这样,那么您就错过了域控制器带来的许多功能!我建议您将用户从本地计算机移动到域控制器!