Назад | Перейти на главную страницу

В сводке результатов групповой политики указано, что контроллер домена является членом "BUILTIN \ Administrators"

Когда бы ни я бегу в Мастер результатов групповой политики и выберите контроллер домена в качестве целевого компьютера, в сводке отобразится BUILTIN\Administrators в списке «Членство в группе безопасности при применении групповой политики» в разделе «Конфигурация компьютера», как показано ниже:

(Имя домена, пользователя и компьютера не указано)

Поскольку контроллеры домена не являются членами администраторов (по крайней мере, не из того, что я вижу в ADUC), мой вопрос просто: почему?

Действительно ли контроллеры домена входят в группу администраторов или GPResults неверны (и почему)?

Да, вы это правильно понимаете.

Проведем эксперимент.

Возьмите psexec из Sysinternals. Перенесите его на свой контроллер домена.

Бегать psexec -s -i cmd.exe на вашем контроллере домена.

Теперь в новой командной строке введите whoami и whoami /groups. Вы увидите, что теперь вы являетесь учетной записью SYSTEM на своем контроллере домена (также известной как DC01 $) и действительно принадлежите к группе Builtin \ Administrators.

Эти встроенные группы используются контроллерами домена совместно. Итак, вот что интересно:

Тип start \\DC02\c$ из командной строки. Он должен запустить проводник Windows на другом контроллере домена, потому что вы (DC01 $) также являетесь администратором этого контроллера домена!

Контроллеры домена не имеют локального SAM в отличие от обычных компьютеров с Windows. (Ну, они это делают, но он используется только в режиме восстановления.) Все они разделяют группы AD Builtin, и поскольку система Windows должна быть администратором самой себя, чтобы функционировать, как и любая учетная запись SYSTEM на любой другой машине Windows, Это дает нам интересный побочный эффект, заключающийся в том, что все контроллеры домена в конечном итоге становятся администраторами друг друга.

Изменить: уборка для потомков.