我正在进行安全测试并创建两个用户,并将它们添加到两个不同的组中:Administrator
在文件夹中/Builtin
和Domain Admin
在文件夹中/Users
,并且取决于攻击,只有获得域管理员权限才有可能
答案1
域管理员 (DA) 的大部分权限来自管理员成员资格。还有少数 AD 功能专门需要 DA。
DA 不能有来自其他域的成员,因此在多域林中,通常将管理员帐户添加到管理员而不是 DA。
答案2
除了之前观察到的 DA 通过管理员成员身份继承其大部分权限之外,默认情况下,他们还对域中的每台计算机拥有本地管理员权限(通过不应删除的 GPO)。管理员没有,因为它是一个内置本地组。
管理员是 AD 目录中大多数对象的默认所有者,也是每个 DC 上的“本地管理员”。
实施最低权限管理模型是微软提供的有关应对这些组及其成员启用哪些基本控制的有用指南。