Administrador de domínio vs administrador local, e acessando estações de trabalho remotamente

1

Estou fazendo experiências com uma rede de domínio inicial com base no Windows Server 2008. Presumi inicialmente que, como sou administrador de domínio, também deveria ter direitos de acesso total às estações de trabalho no domínio. Então eu li sobre direitos de 'administrador local' em estações de trabalho, e agora isso não parece tão claro.

Alguém pode explicar a relação entre um administrador de domínio e um administrador local?

Se eu sou um administrador de domínio, como posso obter direitos de administrador local em todos os sistemas conectados ao domínio? Posso fazer uma conta de superadministrador? Eu preciso ser capaz de acessá-los remotamente se fizer alguma diferença.

Obrigado!

    
por TripleAntigen 02.07.2011 / 04:52

3 respostas

3

Ao ingressar em uma estação de trabalho ou servidor em um domínio, o grupo Admins. do Domínio é adicionado ao grupo Administradores local e o grupo Usuários do Domínio é adicionado ao grupo Usuários locais. Os únicos casos em que isso não seria o caso seriam se você usasse a função Grupos Restritos em um GPO para alterar a participação no grupo desses grupos ou se alterasse manualmente a associação desses grupos.

O escopo dos direitos de usuário concedidos a cada grupo é como seus nomes indicam: Os administradores de domínio têm direitos de administrador no domínio, inclusive em todas as estações de trabalho e servidores no domínio (escopo de domínio). Os administradores locais têm direitos de administrador na estação de trabalho ou servidor onde eles existem, mas não têm direitos no domínio ou em outras estações de trabalho ou servidores (escopo local).

    
por 02.07.2011 / 13:54
7

O grupo de administradores de domínio deve ser automaticamente um membro do grupo de administradores locais em qualquer membro do domínio, a menos que tenha sido removido explicitamente. Administradores que não são de domínio podem ser adicionados ao grupo de administradores locais em qualquer membro do domínio.

    
por 02.07.2011 / 05:04
1

Nada é definido automaticamente. Como os nomes sugerem, os administradores de domínio estão configurados para administrar o domínio, os administradores locais administram o computador local. Um membro do grupo de administradores de domínio, por padrão, possui direitos administrativos sobre os computadores locais. Para esclarecer isso, quero dizer que o grupo de administradores de domínio é automaticamente adicionado ao grupo administrativo local em PCs de domínio.

OU você pode configurar grupos restritos na política de grupo para gerenciar os grupos locais nos computadores do domínio. Com essa opção, você adicionaria a conta de administrador local como um grupo restrito no GPO. Você especificaria o domínio ou a conta / grupo local na seção Members do grupo restrito. Você poderia usar esse método para fornecer outro grupo de domínio, como um grupo de "suporte à estação de trabalho", direitos de administrador nos computadores.

    
por 02.07.2011 / 05:03