Administratorzy domeny vs. Administratorzy w Windows AD DC [zamknięte]

16

Po przeczytaniu w artykule Microsoft Docs Grupy domyślne opis tych dwóch grup:

Administratorzy domeny

Członkowie tej grupy mają pełną kontrolę nad domeną. Domyślnie ta grupa jest członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich domeny w momencie ich przyłączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, ostrożnie dodawaj użytkowników. ”

Administratorzy

Członkowie tej grupy mają pełną kontrolę nad wszystkimi kontrolerami domeny w domenie. Domyślnie grupy Administratorzy domeny i Administratorzy przedsiębiorstwa są członkami grupy Administratorzy. Konto administratora jest również domyślnym członkiem. Ponieważ ta grupa ma pełną kontrolę w domenie, dodaj użytkowników ostrożnie ”.

oraz że w tym samym artykule stwierdzono, że obie grupy mają dokładnie taki sam opis swoich domyślnych uprawnień użytkownika :

Uzyskaj dostęp do tego komputera z sieci; Dostosuj przydziały pamięci dla procesu; Twórz kopie zapasowe plików i katalogów; Sprawdzanie obrotu pomostu; Zmień czas systemowy; Utwórz plik strony; Programy do debugowania; Włącz zaufanie do kont komputerów i użytkowników w kwestii delegowania; Wymuś zamknięcie ze zdalnego systemu; Zwiększ priorytet planowania; Ładowanie i rozładowywanie sterowników urządzeń; Zezwalaj na logowanie lokalne; Zarządzaj dziennikiem inspekcji i bezpieczeństwa; Zmodyfikuj wartości środowiskowe oprogramowania układowego; Pojedynczy proces profilu; Wydajność systemu profili; Usuń komputer ze stacji dokującej; Przywróć pliki i katalogi; Zamknij system; Przejmij na własność pliki lub inne obiekty.

Ponadto artykuł Microsoft Docs Domyślne grupy lokalne zawiera następujący opis grupy Administratorzy :

Członkowie tej grupy mają pełną kontrolę nad serwerem iw razie potrzeby mogą przypisywać użytkownikom prawa dostępu i uprawnienia kontroli dostępu. Konto administratora jest również domyślnym członkiem. Gdy ten serwer jest przyłączony do domeny, grupa Administratorzy domeny jest automatycznie dodawana do tej grupy ... ”

[moje podkreślenie]

Biorąc powyższe pod uwagę, nie rozumiem:

  1. Jakie są między nimi różnice?
  2. Kiedy stosować, które w ich domyślnym wcieleniu?
  3. Jak specjalizować swoje zaangażowanie?
  4. Jeśli administratorzy domeny są członkami administratorów, czyż nie czyni ich to zawsze równymi?

To pytanie jest podpytane i zadane w kontekście pytania. Czy kontekst lokalnego użytkownika maszyny dołączonej do AD jest kontem komputera domeny lub konta komputera lokalnego?

Gennady Vanin Геннадий Ванин
źródło
vgv8 zmieniłeś swoje pytanie i zaakceptowałeś odpowiedź, która nie odpowiedziała poprawnie na twoje pierwotne pytanie! Wygląda na to, że wykorzystałeś tę sztuczkę w kilku swoich pytaniach. Radzę nauczyć się, jak prawidłowo używać przepełnienia stosu.
JamesRyan
@JamesRyan, co zmieniłem w swoim pytaniu ???? Jedyne, co zmieniłem w swoim poście, to dodanie Update1.
Gennady Vanin Геннадий Ванин
Twoje pierwotne pytanie brzmiało, jak różnią się one w domenie. Aktualizacje i komentarze subtelnie, ale znacząco zmieniły to, co różni się na konkretnej maszynie.
JamesRyan
2
To pytanie jest mylące i zmieniało się w trakcie jego życia, jest teraz znacznie inne niż kiedy zostało zadane. W związku z tym istnieje tutaj wiele odpowiedzi, które odpowiadają na różne pytania. W przyszłości, jeśli temat pytania znacząco się zmieni, zadaj nowe pytanie.
Sam Cogan
2
Zwróciłem to z powrotem, aby usunąć wszystkie obce bzdury, które nie mają znaczenia.
John Gardeniers

Odpowiedzi:

12

Zanim kontroler domeny zostanie awansowany do tej roli, jest to prosty serwer grupy roboczej (autonomiczny) i ma lokalne konto administratora oraz lokalną grupę administratorów. Podczas tworzenia domeny konta te nie znikają; są włączone do domeny jako konto administratora domeny i wbudowana grupa \ Administratorzy.

Wbudowana grupa \ Administratorzy ma dostęp administracyjny do kontrolerów domeny, ale nie ma automatycznie dostępu administracyjnego do wszystkich komputerów w domenie, podczas gdy administratorzy domeny to.

gWaldo
źródło
Cześć, Waldo. Wierzyłem, że Administratorzy domeny mają dostęp do wszystkich komputerów poprzez włączenie ich do lokalnej grupy Administratorzy na wszystkich komputerach będących domenami. Zobacz cytat w moim głównym poście: „Domyślnie ta grupa jest członkiem grupy Administratorzy na wszystkich kontrolery domeny, wszystkie stacje robocze domeny i wszystkie serwery członkowskie domeny w momencie, gdy są przyłączone do domeny ". Wierzyłem, że nikt nie ma dostępu do mojego komputera, czy to w domenie, czy też nie, jeśli usunę takie uprawnienia (lub wtrącenia). Prawdziwe?
Gennady Vanin Геннадий Ванин
+1, zresztą przydało mi się to jako manekin nie mający dostępu do AD / DC
Gennady Vanin Геннадий Ванин
2
Poza moją głową (i nie mam dziewiczej domeny do sprawdzenia, ani zasobów do jej zbudowania), dodanie Administratorów Domeny do lokalnej grupy Administratorów na każdym komputerze jest częścią domyślnego obiektu zasad grupy zasad domeny. W takim przypadku możesz oczywiście usunąć administratorów domeny z lokalnej grupy administratorów, ale zostaną oni przywróceni podczas następnego odświeżania zasad (domyślnie co 90 + [0–30] minut).
gWaldo
Jak to jest? Z serwera serverfault.com/questions/173550/ ... zrozumiałem i śledziłem, że lokalne grupy i użytkownicy na komputerach klienckich są dokładnie takie same jak na komputerach grupy roboczej (nieprzyłączonych lub wstępnie przyłączonych do domeny) i są nieznani dla domeny ( AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan przeczytaj go ponownie (nie jest edytowany): Grupa wbudowana \ Administratorzy ma dostęp administracyjny do kontrolerów domeny, ale nie ma automatycznie dostępu administracyjnego do wszystkich komputerów w domenie, podczas gdy administratorzy domeny to. Kontrolery Liczba mnoga.
gWaldo
10

Grupa administratorów domeny, a wbudowana grupa AD \ Adminstrators (nie lokalna grupa administracyjna na klientach) skutecznie przyznaje użytkownikom takie same prawa, jednak istnieją pewne subtelne różnice:

  • wbudowany \ administratorzy to grupa lokalna domeny, gdzie jako administratorzy domeny to grupa globalna
  • Administratorzy domen są członkami wbudowanych \ administratorów
  • Administratorzy domen są członkami lokalnej grupy administratorów na każdym komputerze klienckim
  • Wbudowana grupa \ administrators zapewnia kompatybilność wsteczną z systemami sprzed AD
Sam Cogan
źródło
5

To pytanie ma prostą i skomplikowaną odpowiedź.

Prostą odpowiedzią jest zawsze użycie grupy administratorów domeny.

Skomplikowana odpowiedź jest taka, że ​​administratorzy domeny dają administratorowi wszystko (domeny, serwery i stacje robocze) w domenie. wbudowany \ Administratorzy początkowo daje dostęp tylko do wszystkich kontrolerów domeny (jest to grupa lokalna, ale jest replikowana), ale nie do serwerów ani stacji roboczych. Jednak dostęp administratora do kontrolera domeny umożliwia podniesienie się do poziomu administratora domeny. Więc z punktu widzenia bezpieczeństwa są one równoważne.

Głównym powodem, dla którego istnieją wbudowane \ administratorzy, jest to, że programy sprawdzające dostęp administratora mogą sprawdzać to samo miejsce na dowolnym komputerze.

DC to klucze do twojego zamku, nigdy nie możesz dać administratora jednemu, a nie drugiemu (skutecznie) lub lokalnemu serwerowi, a nie całej domenie, więc nie powinieneś mieć programów / plików, które wymagają lokalnego dostępu administratora tylko na nich.

JamesRyan
źródło
+1 @JamesRyan, „jest to grupa lokalna, ale zostaje zreplikowana”. Zabawne, ponieważ w serverfault.com/questions/173550/ ... jednogłośnie otrzymałem odpowiedź, że lokalne grupy / konta nie są rozpoznawane poza lokalnym komputerem. Chociaż w serverfault.com/questions/174196/ ... zakwestionowałem tę „anonimowość”, ponieważ administrator i administratorzy mają „dobrze znane identyfikatory bezpieczeństwa”, patrz technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин
Zastanawiam się, czy jest replikowane jako dobrze znana grupie Windows lub jako grupa lokalna?
Gennady Vanin Геннадий Ванин
Dlaczego to odrzucono, gdy jest to prawidłowa odpowiedź? Nie taka odpowiedź, jakiej chciałeś?
JamesRyan
@JamesRyan, głosowałem za odpowiedź jako pomocną. Moja ocena to około 50 i nigdy nie miałem na żadnej stronie trylogii 100 potrzebnej do przegłosowania! Poza tym, AFAIK, nie mogę przegłosować po przegłosowaniu
Gennady Vanin Геннадий Ванин
Rozmawiałem z downvoters
JamesRyan
4

Grupa bultin / administrators jest tworzona domyślnie podczas instalacji systemu Windows. Ta grupa ma pełny i nieograniczony dostęp do komputera. Domyślnie jedynym kontem użytkownika będącym członkiem tej grupy jest Administrator.

Grupa Administratorzy domeny jest obecna tylko w domenie Windows. Ta grupa ma pełny i nieograniczony dostęp do całej domeny, jest w stanie zalogować się do dowolnego komputera lub serwera, który jest członkiem domeny.

Po dodaniu komputera / serwera do domeny grupa administratorów domeny automatycznie staje się członkiem grupy wbudowanej / administratorów, zapewniając administratorom domeny dostęp na poziomie administratora do komputera.

Jeśli przeniesiesz konto z grupy administratorów domeny do grupy wbudowanych / administratorów, to konto będzie mogło administrować tym komputerem lokalnym, ale nic więcej, chyba że dodasz konto do innych wbudowanych / administratorów grup.

Aleroot
źródło
3
Myślę, że mówi o grupie administratorów w AD, a nie o lokalnej grupie administratorów na komputerach klienckich
Sam Cogan,
Kim on jest"? Jeśli „on” to vgv8, to właśnie wstawiłem kilka cytatów z prośbą o ich wyjaśnienie!
Gennady Vanin Геннадий Ванин
1
aleroot ma rację, ponieważ jest to lokalna grupa administracyjna, ale niepoprawny, ponieważ zachowuje się inaczej na DC
JamesRyan
@JamesRyan, +1 za próbę wyjaśnienia mnie. Odpowiedź aleroot po prostu powtórzyła to, co zacytowałem w moim pytaniu. Nie widzę, w której części napisano, że lokalna grupa Administratorów „zachowuje się inaczej na DC”. W innym komentarzu stwierdziłeś, że ta grupa (lokalni administratorzy) jest replikowana między kontrolerami domeny. Jak zachowanie może być takie samo na serwerze przed promowaniem go do DC?
Gennady Vanin Геннадий Ванин
@Sam Cogan, mówię o tym, jak lokalna grupa administratorów serwera / stacji roboczej bez domeny jest zmieniana (czy nie?) Przez połączenie komputera z AD (czyli na komputerze klienckim). W poście nadrzędnym odpowiedziano mi, że nie ma różnicy w lokalnych grupach i użytkownikach przed dołączeniem i później.
Gennady Vanin Геннадий Ванин