Назад | Перейти на главную страницу

Администраторы домена и администраторы в Windows AD DC

Прочитав статью Microsoft Docs Группы по умолчанию описание этих двух групп:

Администраторы домена

Члены этой группы имеют полный контроль над доменом. По умолчанию эта группа является членом группы администраторов на всех контроллерах домена, всех рабочих станциях домена и всех серверах-членах домена на момент их присоединения к домену. По умолчанию учетная запись администратора является членом этой группы. Поскольку группа имеет полный контроль над доменом, добавляйте пользователей с осторожностью ».

Администраторы

Члены этой группы имеют полный контроль над всеми контроллерами домена в домене. По умолчанию группы администраторов домена и администраторов предприятия являются членами группы администраторов. Учетная запись администратора также является участником по умолчанию. Поскольку эта группа имеет полный контроль над доменом, добавляйте пользователей с осторожностью ».

и что в той же статье говорится, что обе группы имеют одно и то же описание своих Права пользователя по умолчанию:

Доступ к этому компьютеру из сети; Настройте квоты памяти для процесса; Резервное копирование файлов и каталогов; Обход поперечной проверки; Изменить системное время; Создайте файл подкачки; Отладка программ; Разрешить доверять учетным записям компьютеров и пользователей для делегирования; Принудительное завершение работы из удаленной системы; Повышение приоритета планирования; Загрузка и выгрузка драйверов устройств; Разрешить вход в систему локально; Управление журналом аудита и безопасности; Изменить значения среды прошивки; Профиль единый процесс; Производительность профильной системы; Снимите компьютер с док-станции; Восстановить файлы и каталоги; Выключите систему; Возьмите на себя ответственность за файлы или другие объекты.

Далее в статье Microsoft Docs Локальные группы по умолчанию включает это описание Администраторы группа:

Члены этой группы имеют полный контроль над сервером и могут при необходимости назначать пользователям права и разрешения на управление доступом. Учетная запись администратора также является участником по умолчанию. Когда этот сервер присоединяется к домену, группа администраторов домена автоматически добавляется в эту группу ... "

[курсив мой]

Учитывая вышесказанное, я не понимаю:

  1. В чем разница между ними?
  2. Когда использовать что в их воплощении по умолчанию?
  3. Как специализировать свое участие?
  4. Если администраторы домена являются членами администраторов, разве это не делает их всегда равными?

Этот вопрос является подвопросом и задается в контексте вопроса Является ли контекст локального пользователя машины, присоединенной к AD, учетной записью машины домена или учетной записью локальной машины?

Прежде чем контроллер домена будет повышен до этой роли, это будет простой сервер рабочей группы (автономный), имеющий учетную запись локального администратора и локальную группу администраторов. Когда вы создаете домен, эти учетные записи не исчезают; они включены в домен как учетная запись администратора домена и встроенная группа домена \ Administrators.

Группа builtin \ Administrators имеет административный доступ к контроллерам домена, но не получает автоматически административный доступ ко всем компьютерам в домене, в то время как администраторы домена имеют.

Группа администраторов домена и встроенная группа AD \ Adminstrators (а не локальная группа администраторов на клиентах) фактически предоставляют пользователям в них одинаковые права, однако есть некоторые тонкие различия:

  • builtin \ administrators - это локальная группа домена, а в качестве администраторов домена - глобальная группа
  • Администраторы домена входят в состав встроенных \ администраторов
  • Администраторы домена являются членами группы локальных администраторов на каждом клиентском компьютере.
  • Группа builtin \ administrators предназначена для обеспечения обратной совместимости с системами до AD.

Это вопрос с простым и сложным ответом.

Простой ответ - всегда использовать группу администраторов домена.

Сложный ответ заключается в том, что администраторы домена предоставляют администратора для всего (контроллеров домена, серверов и рабочих станций) в домене. builtin \ Administrators изначально дает доступ только к все Контроллеры домена (это локальная группа, но она реплицируется), но не серверы или рабочие станции. тем не мение доступ администратора к DC дает возможность повысить себя до уровня администратора домена. Так что с точки зрения безопасности они эквивалентны.

Основная причина, по которой существует встроенный \ administrators, заключается в том, что программы, проверяющие доступ администратора, могут проверять одно и то же место на любой машине.

Контроллеры домена - это ключи к вашему замку, вы никогда не можете дать администратора одному, а не другому (эффективно) или локальному серверу, а не всему домену, поэтому не должно быть программ / файлов, требующих доступа локального администратора только к ним.

Группа bultin / administrators создается по умолчанию при установке Windows. Эта группа имеет полный и неограниченный доступ к компьютеру. По умолчанию единственной учетной записью пользователя, которая является членом этой группы, является Администратор.

Группа администраторов домена присутствует только в домене Windows. Эта группа имеет полный и неограниченный доступ ко всему домену, с возможностью входа на любой компьютер или сервер, который является членом домена.

Когда компьютер / сервер добавляется в домен, группа администраторов домена автоматически становится членом встроенной группы / administrators, тем самым предоставляя администраторам домена доступ к компьютеру на уровне администратора.

Если вы переместили учетную запись из группы администраторов домена во встроенную группу / adminstrators, эта учетная запись сможет управлять этим локальным компьютером, но ничем другим, если вы не добавили учетную запись в другие группы встроенных / администраторов.