Quản trị viên tên miền so với Quản trị viên trong Windows AD DC [đã đóng]

Đã đọc trong bài viết Microsoft Docs Các nhóm mặc định mô tả về hai nhóm này:

Quản trị viên tên miền

Thành viên của nhóm này có toàn quyền kiểm soát tên miền. Theo mặc định, nhóm này là thành viên của nhóm Quản trị viên trên tất cả các bộ điều khiển miền, tất cả các máy trạm tên miền và tất cả các máy chủ thành viên miền tại thời điểm chúng được kết nối với miền. Theo mặc định, tài khoản Administrator là thành viên của nhóm này. Bởi vì nhóm có toàn quyền kiểm soát trong miền, hãy thận trọng thêm người dùng. "

Quản trị viên

Thành viên của nhóm này có toàn quyền kiểm soát tất cả các bộ điều khiển miền trong miền. Theo mặc định, nhóm Quản trị viên tên miền và Quản trị viên doanh nghiệp là thành viên của nhóm Quản trị viên. Tài khoản Administrator cũng là thành viên mặc định. Bởi vì nhóm này có toàn quyền kiểm soát trong miền, hãy thận trọng thêm người dùng. "

và cùng một bài viết tuyên bố cả hai nhóm có mô tả chính xác về quyền người dùng mặc định của họ :

Truy cập máy tính này từ mạng; Điều chỉnh hạn ngạch bộ nhớ cho một quá trình; Sao lưu tập tin và thư mục; Bỏ qua kiểm tra ngang; Thay đổi thời gian hệ thống; Tạo một trang web; Chương trình gỡ lỗi; Cho phép tài khoản máy tính và người dùng được tin cậy để ủy quyền; Buộc tắt máy từ một hệ thống từ xa; Tăng ưu tiên lên lịch trình; Tải và dỡ trình điều khiển thiết bị; Cho phép đăng nhập vào địa phương; Quản lý nhật ký kiểm toán và bảo mật; Sửa đổi giá trị môi trường phần sụn; Hồ sơ quy trình đơn; Hiệu suất hệ thống hồ sơ; Di chuyển máy tính khỏi trạm nối; Khôi phục tập tin và thư mục; Tắt hệ thống; Hãy sở hữu các tập tin hoặc các đối tượng khác.

Hơn nữa, bài viết Microsoft Docs Các nhóm cục bộ mặc định bao gồm mô tả về nhóm Quản trị viên này:

Thành viên của nhóm này có toàn quyền kiểm soát máy chủ và có thể gán quyền người dùng và quyền kiểm soát truy cập cho người dùng khi cần thiết. Tài khoản Administrator cũng là thành viên mặc định. Khi máy chủ này được kết nối với một tên miền, nhóm Quản trị viên tên miền sẽ tự động được thêm vào nhóm này ... "

[nhấn mạnh của tôi]

Đưa ra những điều trên, tôi không hiểu:

1. Sự khác biệt giữa chúng là gì?
2. Khi nào sử dụng trong hóa thân mặc định của họ?
3. Làm thế nào để chuyên tham gia của họ?
4. Nếu Quản trị viên tên miền là thành viên của Quản trị viên, điều đó có khiến họ luôn bằng nhau không?

Câu hỏi này là câu hỏi phụ và được hỏi trong ngữ cảnh của câu hỏi Là bối cảnh của người dùng cục bộ của máy tham gia AD là tài khoản máy miền hay tài khoản máy cục bộ?

Trước khi Bộ điều khiển miền được phát huy vai trò đó, nó là một máy chủ nhóm làm việc đơn giản (độc lập) và có tài khoản Quản trị viên cục bộ và nhóm Quản trị viên cục bộ. Khi bạn tạo một tên miền, những tài khoản đó sẽ không biến mất; chúng được kết hợp vào miền dưới dạng tài khoản Quản trị viên tên miền và nhóm dựng sẵn \ Nhóm quản trị viên.

Nhóm dựng sẵn \ Quản trị viên có quyền truy cập Quản trị vào Bộ kiểm soát miền, nhưng không được tự động cấp quyền truy cập quản trị cho tất cả các máy tính trong miền, trong khi Quản trị viên tên miền thì có.

Nhóm quản trị viên tên miền và nhóm được xây dựng AD \ Adminstrators (không phải nhóm quản trị viên cục bộ trên máy khách) cấp cho người dùng quyền đó một cách hiệu quả, tuy nhiên có một số khác biệt tinh tế:

• dựng sẵn \ quản trị viên là một nhóm cục bộ miền, trong đó quản trị viên tên miền là một nhóm toàn cầu
• Quản trị viên tên miền là một memeber của quản trị viên dựng sẵn
• Quản trị viên tên miền là thành viên của nhóm quản trị viên cục bộ trên mỗi máy khách
• Nhóm quản trị viên dựng sẵn có để cung cấp khả năng tương thích ngược với các hệ thống tiền AD

Đây là một câu hỏi với một câu trả lời đơn giản và phức tạp.

Câu trả lời đơn giản là luôn sử dụng nhóm quản trị viên tên miền.

Câu trả lời phức tạp là quản trị viên tên miền cung cấp cho quản trị viên mọi thứ (DC, máy chủ và máy trạm) trên miền. dựng sẵn \ Quản trị viên ban đầu chỉ cấp quyền truy cập cho tất cả các DC (đây là nhóm cục bộ nhưng được sao chép) nhưng không phải máy chủ hoặc máy trạm. Tuy nhiên, quyền truy cập của quản trị viên vào DC cung cấp khả năng nâng cao bản thân cho quản trị viên tên miền. Vì vậy, từ một bảo mật POV họ là tương đương.

Lý do chính được xây dựng \ quản trị viên tồn tại là để các chương trình kiểm tra quyền truy cập của quản trị viên có thể kiểm tra cùng một vị trí trên bất kỳ máy nào.

DC là chìa khóa cho lâu đài của bạn, bạn không bao giờ có thể cung cấp quản trị viên cho một người chứ không phải người khác (hiệu quả) hoặc máy chủ cục bộ và không phải toàn bộ tên miền vì vậy không nên có các chương trình / tệp chỉ yêu cầu quản trị viên cục bộ truy cập vào chúng.

Nhóm bultin / quản trị viên được tạo theo mặc định khi bạn cài đặt Windows. Nhóm này có quyền truy cập đầy đủ và không hạn chế vào máy tính. Theo mặc định, tài khoản người dùng duy nhất là thành viên của nhóm này là Quản trị viên.

Nhóm Quản trị viên tên miền chỉ có trong một miền Windows. Nhóm này có quyền truy cập đầy đủ và không hạn chế vào toàn bộ tên miền, có thể đăng nhập vào bất kỳ máy tính hoặc máy chủ nào là thành viên của tên miền.

Khi máy tính / máy chủ được thêm vào tên miền, nhóm quản trị viên tên miền sẽ tự động trở thành thành viên của nhóm dựng / quản trị viên, do đó cung cấp quyền truy cập cấp quản trị viên cấp quản trị viên vào máy tính.

Nếu bạn đã chuyển một tài khoản từ nhóm quản trị viên tên miền sang nhóm dựng sẵn / quản trị viên, tài khoản đó sẽ có thể quản trị máy tính cục bộ đó nhưng không có gì khác, trừ khi bạn thêm tài khoản vào các nhóm xây dựng / quản trị viên khác.