Podsumowanie wyników zasad grupy mówi, że DC jest członkiem „BUILTIN \ Administrators”

Ilekroć biegnę z kreatora Wynik zasad grupy i wybrać kontroler domeny komputera docelowego, pokazy podsumowania BUILTIN\Administratorsna liście „Security Group Membership gdy Group Policy zostało zastosowane” w konfiguracji komputera, jak pokazano poniżej:

(Pominięto domenę, nazwę użytkownika i komputera)

Ponieważ kontrolery domeny nie są członkami administratorów (przynajmniej nie z tego, co widzę w ADUC), moje pytanie brzmi po prostu, dlaczego?

Czy kontrolery domeny są faktycznie członkami grupy Administratorzy, czy też GPResults się myli (i dlaczego)?

Tak, widzisz to poprawnie.

Zróbmy eksperyment.

Chwyć psexec z Sysinternals. Prześlij go do kontrolera domeny.

Uruchom psexec -s -i cmd.exena kontrolerze domeny.

Teraz w nowym wierszu polecenia wpisz whoamii whoami /groups. Zobaczysz, że jesteś teraz kontem SYSTEM na kontrolerze domeny (alias DC01 $) i że rzeczywiście należysz do grupy Builtin \ Administrators.

Te wbudowane grupy są współużytkowane przez kontrolery domeny. Oto coś fajnego:

Wpisz w start \\DC02\c$wierszu polecenia. Powinien on uruchomić Eksploratora Windows na innym kontrolerze domeny, ponieważ Ty (DC01 $) również jesteś administratorem tego kontrolera domeny!

Kontrolery domeny nie mają lokalnego SAM w taki sam sposób, jak zwykłe komputery z systemem Windows. (Cóż, robią to, ale jest używane tylko w trybie przywracania.) Wszystkie współużytkują wbudowane grupy AD, a ponieważ system Windows musi być administratorem samego siebie, aby funkcjonować, tak jak każde konto SYSTEM na dowolnym innym komputerze z systemem Windows, daje nam to interesujący efekt uboczny polegający na tym, że wszystkie kontrolery domeny są administratorami.

Edycja: Sprzątanie dla potomności.