Como posso saber se um determinado usuário do AD tem direitos de administrador no Windows Server 2003?

6

Como posso saber se um determinado usuário do AD tem direitos de administrador em uma caixa do Server 2003? Estou usando o Enterprise Edition.

    
por Keng 19.05.2009 / 17:27

4 respostas

3

Depende se o servidor é um controlador de domínio ou não. Se não for um controlador de domínio, todos os usuários têm direitos de administrador, que são membros do Grupo de Administradores local (consulte Gerenciamento do Computador > Usuários e Grupos Locais - Administradores.)

Se o servidor for um controlador de domínio, os usuários pertencentes ao Grupo de Administradores ou o Grupo de Administradores do Domínio ou o grupo Administradores Corporativos (se houver uma floresta de domínios), têm direitos de administrador nesse servidor específico. O grupo de administradores do domínio é, por padrão, membro de todos os grupos de administradores em todos os computadores que estão no domínio.

Aqui você pode encontrar uma lista de grupos e contas internos do Active Directory :

Administrators

After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group. The Administrators group has built-in capabilities that give its members full control over the system. The group is the default owner of any object that is created by a member of the group.

Domain Admins

A global group whose members are authorized to administer the domain. By default, the Domain Admins group is a member of the Administrators group on all computers that have joined a domain, including the domain controllers. Domain Admins is the default owner of any object that is created in the domain's Active Directory by any member of the group. If members of the group create other objects, such as files, the default owner is the Administrators group.

Enterprise Admins

A group that exists only in the root domain of an Active Directory forest of domains. It is a universal group if the domain is in native mode, a global group if the domain is in mixed mode. The group is authorized to make forest-wide changes in Active Directory, such as adding child domains. By default, the only member of the group is the Administrator account for the forest root domain.

    
por 19.05.2009 / 17:46
3

Você também pode executar o comando 'gpresult' enquanto estiver conectado ao servidor como o usuário em questão. (se isso é possível neste caso)

Você obterá uma boa lista dos grupos dos quais é membro, incluindo BUILTIN \ Administrators.

    
por 27.05.2009 / 19:40
1

Os grupos locais do servidor (como o grupo Administradores de um servidor) não estão disponíveis por meio do AD. Você precisa procurar no grupo Administradores no servidor. Este post tem um script que irá enumerar remotamente o grupo de administradores locais.

    
por 19.05.2009 / 17:34
1

Se a caixa for um servidor membro, verifique no grupo Administradores local no servidor. Se for um controlador de domínio, verifique em Administradores e administradores de domínio na ferramenta Usuários e Computadores do Active Directory.

    
por 19.05.2009 / 17:48