Existem distinções claras entre Administrador e Contas Padrão em Domínios? [fechadas]

Eu não diria que a distinção é "mais obscura", você só tem muito mais controle granular.

O administrador do domínio é o super usuário absoluto, ele pode fazer qualquer coisa. Especialmente em organizações maiores, convém delegar determinados direitos administrativos sem tornar todos um administrador de domínio. Por exemplo, você pode definir uma ou duas pessoas em um departamento grande que têm o direito de redefinir senhas para os membros de sua própria equipe para que essas solicitações não precisem passar pelo suporte de TI. Mas mesmo dentro do próprio departamento de TI, você pode querer que uma pessoa seja responsável pelo gerenciamento do servidor da Internet. Essa pessoa não precisa ter nenhum direito conectado ao gerenciamento de usuários (interno).

Em suma, você pode configurar um domínio usando terminologia muito simples, como "Admin" e "Usuários padrão", como faria em computadores individuais. Mas na maioria das vezes você vai querer fazer uso das melhores possibilidades de controle.

Quanto à sua outra pergunta, vou encaminhá-lo para: link

As distinções são exatamente as mesmas prontas para uso, mas podem ser confundidas por um administrador, pois o nível de controle disponível é muito mais granular.

Quando um computador ingressa em um domínio do Windows Server:

• O grupo "Usuários do domínio" é adicionado ao grupo "Usuários" local - o que significa que todos os usuários obtêm os mesmos direitos que um usuário local.
• O grupo "Administradores de domínio" é adicionado ao grupo "Administradores" local - o que significa que todos os administradores de domínio se tornam administradores locais de sua máquina.

Existem algumas maneiras pelas quais as coisas podem se tornar mais complexas:

Política de grupo pode ser usada para delegar permissões adicionais. Preferências da Política de Grupo pode ser usado para adicionar, remover, substituir ou falsificar a associação de qualquer grupo local (você pode ver seus grupos locais acessando start > run > lusrmgr.msc e procurar no contêiner "Grupos" )

A Diretiva de Grupo também pode ser usada para permitir que certos usuários façam coisas que normalmente não seriam capazes de fazer como um usuário limitado, como logon como um serviço, computadores de Área de Trabalho Remota, alterar a hora do sistema sem elevação do UAC. consulte Este link do Technet para obter uma lista realmente longa de direitos que podem ser delegado (não vai postar em resposta como já é realmente longo)

Alguns grupos do Active Directory também têm permissões especiais. Um exemplo disso é o grupo "Account Operators". A associação a esse grupo permite que um usuário redefina a senha de outros usuários, permita a exclusão / remoção de uma máquina do domínio e uma lista inteira de funções, mas não permite alterações que rebaixem / promovam um controlador de domínio, criem uma nova domínio ou de outra forma mexer com o esquema do AD. Este artigo do Technet explica os grupos padrão e seus direitos em um padrão out-of-the-box domínio.

Existem outros métodos que podem ser usados para modificar direitos (scripts de inicialização do powershell para alterar os direitos do registro, mapeamento automático de impressoras, instalação automática de software, etc.) - mas entrar em todas essas possibilidades tornaria essa resposta interminável. . Se você puder fornecer um exemplo mais específico do tipo de segurança e direitos que está curioso ou nos fornecer uma pergunta baseada em cenário, podemos fornecer uma resposta mais segmentada.