Я работаю над изучением функций административной учетной записи. Мои вопросы конкретно - это разница между учетными записями администратора домена и локального администратора. При первом удаленном входе на сервер или рабочую станцию, нужно ли вам сначала войти в систему как администратор домена, или вы можете войти удаленно в качестве учетной записи локального администратора? Кроме того, в каких случаях можно использовать учетную запись локального администратора вместо учетной записи администратора домена? Я читал о различиях между ними и, судя по тому, что я могу сказать, кажется, что вы захотите использовать локальную учетную запись для функций, специфичных для рабочей станции, и учетную запись домена для функций, специфичных для домена. Любая помощь будет оценена.
С уважением, Джош
Группа администраторов домена по умолчанию является членом локальной группы администраторов всех рядовых серверов и компьютеров, и поэтому с точки зрения локальных администраторов назначенные права одинаковы.
Разница проявляется при работе с Active Directory. Администраторы домена имеют повышенные права на администрирование и внесение в него изменений.
Настоятельно рекомендуется не давать права администратора домена никому, кроме лиц, непосредственно ответственных за административные задачи AD.
Если, например, кто-то запрашивает права администратора для всех устройств, никогда не давайте им права администратора домена. Лучше добавьте новую группу AD во все группы локальных администраторов устройства через группы с ограниченным доступом или настройки GPO.
«При удаленном входе на сервер или рабочую станцию в первый раз, нужно ли вам сначала войти в систему как администратор домена, или вы можете войти удаленно в качестве учетной записи локального администратора?» - Не критично, но сначала локальный администратор запустит домашние каталоги локально на этом удаленном компьютере, поэтому, если вам понадобится вход в систему в случае потери домена, он запустится намного быстрее.
«Кроме того, в каких случаях можно было бы использовать учетную запись локального администратора по сравнению с учетной записью администратора домена?» - В случае краха домена. Единственный способ восстановить DC из резервной копии - это войти в систему как локальный администратор.
«кажется, что вы хотите использовать локальную учетную запись для функций, специфичных для рабочей станции, и учетную запись домена для функций, специфичных для домена». - Если вы являетесь администратором домена, то постарайтесь делать все как администратор домена, чтобы избежать физических поездок на рабочие станции. Бывают ситуации, когда не очень умные программисты заставляют пользователей использовать свои приложения с повышенными привилегиями. В таком случае - не давайте этой рабочей станции права администратора домена, а используйте вместо этого локального администратора.
Администратор домена - это учетная запись домена, которая имеет административный доступ ко всем машинам в домене, клиентам и серверам. Этот уровень доступа должен быть строго ограничен авторизованными администраторами.
Локальный администратор - это локальная учетная запись пользователя на одной машине, которая имеет административный доступ к ней и не имеет доступа к любой другой машине в домене, поскольку она неизвестна за пределами локальной машины. Это полезно в основном в ситуациях, когда нет подключения к контроллеру домена, например, для удаления машины из домена и повторного присоединения к нему. (Не такая уж редкая мера по устранению неполадок.) Даже его полезность для установки программного обеспечения ограничена, потому что он может не иметь доступа к общему сетевому ресурсу, где находится устанавливаемое программное обеспечение.
Между ними находится обычный пользователь домена, который стал членом (прямо или косвенно) локальной группы администраторов на одной или нескольких машинах. Такой пользователь может получить доступ к серверам и функциям домена с обычными правами пользователя, но имеет административный доступ на выбранных машинах. Это предпочтительное решение для приложений, которым требуются права администратора, опытных пользователей, которым разрешено ломать свои собственные машины, или младших администраторов, которые могут выполнять установку клиентов, но не должны связываться с драгоценностями короны (пока).