Как вы управляете учетными записями локальных администраторов в домене Windows AD? Что я узнал:
На каждом компьютере есть учетная запись администратора (SID S-1-5-domain-500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.
В Windows 10 и Windows Server 20016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра «Запуск от имени администратора».
Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов.
В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.
Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.
Мои вопросы:
Спасибо и берегите себя, ребята!
Невозможно удалить встроенную учетную запись администратора, даже если компьютер присоединен к домену. Его не обязательно включать, но в корпоративной среде это обычно делается, потому что это самый простой способ восстановления, если машина по какой-либо причине потеряет соединение с доменом.
У встроенной учетной записи администратора каждого клиентского компьютера свой SID, хотя суффикс всегда равен 500 (они могут быть одинаковыми, если вы использовали клонирование без должной подготовки образа.) Встроенная учетная запись администратора является членом группы администраторов. местная группа, тем не менее, и который всегда имеет один и тот же SID (S-1-5-32-544).
Ничто не мешает вам установить один и тот же пароль локального администратора для всех ваших клиентов, но это не рекомендуется, потому что это означает, что если один компьютер скомпрометирован, все компьютеры будут скомпрометированы.
Рекомендуемый подход - использовать Microsoft LAPS, который генерирует случайный пароль для учетной записи локального администратора на каждом компьютере и сохраняет его в Active Directory, чтобы системный администратор мог его найти при необходимости. Ссылка для загрузки включает руководство по эксплуатации, которое поможет вам начать работу.