Когда бы ни я бегу в Мастер результатов групповой политики и выберите контроллер домена в качестве целевого компьютера, в сводке отобразится BUILTIN\Administrators
в списке «Членство в группе безопасности при применении групповой политики» в разделе «Конфигурация компьютера», как показано ниже:
(Имя домена, пользователя и компьютера не указано)
Поскольку контроллеры домена не являются членами администраторов (по крайней мере, не из того, что я вижу в ADUC), мой вопрос просто: почему?
Действительно ли контроллеры домена входят в группу администраторов или GPResults неверны (и почему)?
Да, вы это правильно понимаете.
Проведем эксперимент.
Возьмите psexec из Sysinternals. Перенесите его на свой контроллер домена.
Бегать psexec -s -i cmd.exe
на вашем контроллере домена.
Теперь в новой командной строке введите whoami
и whoami /groups
. Вы увидите, что теперь вы являетесь учетной записью SYSTEM на своем контроллере домена (также известной как DC01 $) и действительно принадлежите к группе Builtin \ Administrators.
Эти встроенные группы используются контроллерами домена совместно. Итак, вот что интересно:
Тип start \\DC02\c$
из командной строки. Он должен запустить проводник Windows на другом контроллере домена, потому что вы (DC01 $) также являетесь администратором этого контроллера домена!
Контроллеры домена не имеют локального SAM в отличие от обычных компьютеров с Windows. (Ну, они это делают, но он используется только в режиме восстановления.) Все они разделяют группы AD Builtin, и поскольку система Windows должна быть администратором самой себя, чтобы функционировать, как и любая учетная запись SYSTEM на любой другой машине Windows, Это дает нам интересный побочный эффект, заключающийся в том, что все контроллеры домена в конечном итоге становятся администраторами друг друга.
Изменить: уборка для потомков.