Admins. do Domínio vs. Administradores no Windows AD DC [fechado]

Navegue suas respostas
11

Após ler o artigo do Microsoft Docs Grupos padrão a descrição desses dois grupos:

Domain Admins

Members of this group have full control of the domain. By default, this group is a member of the Administrators group on all domain controllers, all domain workstations, and all domain member servers at the time they are joined to the domain. By default, the Administrator account is a member of this group. Because the group has full control in the domain, add users with caution."

Administrators

Members of this group have full control of all domain controllers in the domain. By default, the Domain Admins and Enterprise Admins groups are members of the Administrators group. The Administrator account is also a default member. Because this group has full control in the domain, add users with caution."

e que o mesmo artigo afirma que ambos os grupos têm a mesma descrição exata de seus direitos de usuário padrão :

Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects.

Além disso, o artigo do Microsoft Docs Grupos locais padrão inclui esta descrição do grupo Administradores :

Members of this group have full control of the server and can assign user rights and access control permissions to users as necessary. The Administrator account is also a default member. When this server is joined to a domain, the Domain Admins group is automatically added to this group..."

[ênfase minha]

Dado o acima, eu não entendo:

  1. Quais são as diferenças entre eles?
  2. Quando usar em sua encarnação padrão?
  3. Como se especializar no noivado?
  4. Se os administradores de domínio são membros de administradores, isso não os torna sempre iguais?

Esta pergunta é sub-questão de e perguntada no contexto da questão O contexto do usuário local da máquina associada a AD é uma conta de máquina de domínio ou de uma conta de máquina local?     

por Gennady Vanin Геннадий Ванин 25.08.2010 / 07:03

4 respostas

10

Antes de um controlador de domínio ser promovido para essa função, ele é um servidor de grupo de trabalho (autônomo) simples e tem uma conta de administrador local e um grupo de administradores local. Quando você cria um domínio, essas contas não desaparecem; eles são incorporados ao domínio como a conta de administrador do domínio e o domínio incorporado no grupo Administradores.

O grupo incorporado \ Administradores tem acesso Administrativo aos Controladores de Domínio, mas não recebe automaticamente acesso administrativo a todos os computadores dentro do domínio, enquanto os Administradores do Domínio são.

    
por 25.08.2010 / 14:38
9

O grupo de administradores de domínio e o grupo AD / Adminstrators do AD (não o grupo de administradores local nos clientes) concedem efetivamente aos usuários os mesmos direitos, no entanto, existem algumas diferenças sutis:

  • builtin \ administrators é um grupo local de domínio, no qual os administradores de domínio são um grupo global
  • Os administradores de domínio são um membro do grupo \ administradores
  • Os administradores de domínio são membros do grupo de administradores locais em cada computador cliente
  • O grupo builtin \ administrators está lá para fornecer compatibilidade com sistemas pré-AD
por 25.08.2010 / 11:09
4

O grupo bultin / administrators é criado por padrão quando você instala Janelas. Este grupo tem acesso completo e irrestrito ao computador. Por Por padrão, a única conta de usuário que é membro desse grupo é Administrador.

O grupo Administradores do Domínio está presente apenas em um domínio do Windows. este grupo tem acesso completo e irrestrito a todo o domínio, capaz de faça logon em qualquer pc ou servidor que seja membro do domínio.

Quando um pc / servidor é adicionado a um domínio, o grupo de administradores de domínio é automaticamente torna-se um membro do grupo incorporado / administradores, fornecendo assim acesso de nível de administrador de administradores de domínio ao computador.

Se você moveu uma conta do grupo de administradores de domínio para o grupo builtin / adminstrators, essa conta seria capaz de administrar esse computador local, mas nada mais, a menos que você tenha adicionado a conta a outro grupos internos / administradores.

    
por 25.08.2010 / 08:14
4

Esta é uma pergunta com uma resposta simples e complicada.

Resposta simples é sempre usar o grupo de administradores de domínio.

Resposta complicada é que os administradores de domínio fornecem ao administrador tudo (DCs, servidores e estações de trabalho) no domínio. Inicialmente, \ Administradores apenas dão acesso a todos DCs (é um grupo local, mas é replicado), mas não a servidores ou estações de trabalho. No entanto, o acesso de administrador a um DC permite elevar-se ao administrador do domínio. Assim, a partir de um ponto de segurança, eles são equivalentes.

A razão principal que o builtin \ administrators existe é que os programas que verificam o acesso administrativo podem verificar o mesmo local em qualquer máquina.

DCs são as chaves do seu castelo, você nunca pode dar admin a um e não a outro (efetivamente) ou ao servidor local e não a todo o domínio, portanto não deve ter programas / arquivos que requeiram acesso de administrador local apenas a eles.

    
por 25.08.2010 / 13:34

Tags

Por que é ruim construir RPMs como root? Diferença entre 0.0.0.0/0 e :: / 0 em listas de controle de acesso