Quản trị viên tên miền so với Quản trị viên trong Windows AD DC [đã đóng]


16

Đã đọc trong bài viết Microsoft Docs Các nhóm mặc định mô tả về hai nhóm này:

Quản trị viên tên miền

Thành viên của nhóm này có toàn quyền kiểm soát tên miền. Theo mặc định, nhóm này là thành viên của nhóm Quản trị viên trên tất cả các bộ điều khiển miền, tất cả các máy trạm tên miền và tất cả các máy chủ thành viên miền tại thời điểm chúng được kết nối với miền. Theo mặc định, tài khoản Administrator là thành viên của nhóm này. Bởi vì nhóm có toàn quyền kiểm soát trong miền, hãy thận trọng thêm người dùng. "

Quản trị viên

Thành viên của nhóm này có toàn quyền kiểm soát tất cả các bộ điều khiển miền trong miền. Theo mặc định, nhóm Quản trị viên tên miền và Quản trị viên doanh nghiệp là thành viên của nhóm Quản trị viên. Tài khoản Administrator cũng là thành viên mặc định. Bởi vì nhóm này có toàn quyền kiểm soát trong miền, hãy thận trọng thêm người dùng. "

và cùng một bài viết tuyên bố cả hai nhóm có mô tả chính xác về quyền người dùng mặc định của họ :

Truy cập máy tính này từ mạng; Điều chỉnh hạn ngạch bộ nhớ cho một quá trình; Sao lưu tập tin và thư mục; Bỏ qua kiểm tra ngang; Thay đổi thời gian hệ thống; Tạo một trang web; Chương trình gỡ lỗi; Cho phép tài khoản máy tính và người dùng được tin cậy để ủy quyền; Buộc tắt máy từ một hệ thống từ xa; Tăng ưu tiên lên lịch trình; Tải và dỡ trình điều khiển thiết bị; Cho phép đăng nhập vào địa phương; Quản lý nhật ký kiểm toán và bảo mật; Sửa đổi giá trị môi trường phần sụn; Hồ sơ quy trình đơn; Hiệu suất hệ thống hồ sơ; Di chuyển máy tính khỏi trạm nối; Khôi phục tập tin và thư mục; Tắt hệ thống; Hãy sở hữu các tập tin hoặc các đối tượng khác.

Hơn nữa, bài viết Microsoft Docs Các nhóm cục bộ mặc định bao gồm mô tả về nhóm Quản trị viên này:

Thành viên của nhóm này có toàn quyền kiểm soát máy chủ và có thể gán quyền người dùng và quyền kiểm soát truy cập cho người dùng khi cần thiết. Tài khoản Administrator cũng là thành viên mặc định. Khi máy chủ này được kết nối với một tên miền, nhóm Quản trị viên tên miền sẽ tự động được thêm vào nhóm này ... "

[nhấn mạnh của tôi]

Đưa ra những điều trên, tôi không hiểu:

  1. Sự khác biệt giữa chúng là gì?
  2. Khi nào sử dụng trong hóa thân mặc định của họ?
  3. Làm thế nào để chuyên tham gia của họ?
  4. Nếu Quản trị viên tên miền là thành viên của Quản trị viên, điều đó có khiến họ luôn bằng nhau không?

Câu hỏi này là câu hỏi phụ và được hỏi trong ngữ cảnh của câu hỏi Là bối cảnh của người dùng cục bộ của máy tham gia AD là tài khoản máy miền hay tài khoản máy cục bộ?


vgv8 bạn đã thay đổi câu hỏi của bạn và chấp nhận một câu trả lời không trả lời đúng câu hỏi ban đầu của bạn! Bạn dường như đã rút được mẹo này cho một số câu hỏi của bạn. Tôi khuyên bạn nên học cách sử dụng stack stack đúng cách.
JamesRyan

@JamesRyan, tôi đã thay đổi điều gì trong câu hỏi của mình ???? Điều duy nhất tôi đã thay đổi trong bài viết của mình là thêm Update1.
Gennady Vanin Геннадий Внаин 26/8/2016

Câu hỏi ban đầu của bạn là chúng khác nhau như thế nào trong một miền. Các bản cập nhật và nhận xét đã tinh tế nhưng đã thay đổi đáng kể thành khác biệt trên một máy cụ thể.
JamesRyan

2
Câu hỏi này khó hiểu và đã thay đổi trong suốt cuộc đời của nó, bây giờ nó khác biệt đáng kể so với khi nó được hỏi. Do đó, có một số câu trả lời ở đây, tất cả đều trả lời các câu hỏi khác nhau. Trong tương lai, nếu trọng tâm câu hỏi của bạn thay đổi đáng kể, vui lòng đặt câu hỏi mới.
Sam Cogan

2
Tôi đã quay lại cái này để loại bỏ tất cả những thứ nhảm nhí không liên quan.
John Gardeniers

Câu trả lời:


12

Trước khi Bộ điều khiển miền được phát huy vai trò đó, nó là một máy chủ nhóm làm việc đơn giản (độc lập) và có tài khoản Quản trị viên cục bộ và nhóm Quản trị viên cục bộ. Khi bạn tạo một tên miền, những tài khoản đó sẽ không biến mất; chúng được kết hợp vào miền dưới dạng tài khoản Quản trị viên tên miền và nhóm dựng sẵn \ Nhóm quản trị viên.

Nhóm dựng sẵn \ Quản trị viên có quyền truy cập Quản trị vào Bộ kiểm soát miền, nhưng không được tự động cấp quyền truy cập quản trị cho tất cả các máy tính trong miền, trong khi Quản trị viên tên miền thì có.


Xin chào, Waldo, tôi tin rằng Quản trị viên tên miền được cấp quyền truy cập vào tất cả các máy tính bằng cách đưa chúng vào nhóm Quản trị viên cục bộ trên tất cả các máy tính có tên miền, Xem trích dẫn trong bài đăng chính của tôi: "Theo mặc định, nhóm này là thành viên của nhóm Quản trị viên trên tất cả bộ điều khiển miền, tất cả các máy trạm tên miền và tất cả các máy chủ thành viên miền tại thời điểm chúng được kết nối với miền ". Tôi tin rằng không ai có quyền truy cập vào máy tính của tôi, có tên miền hay không, nếu tôi loại bỏ các quyền đó (hoặc bao gồm). Thật?
Gennady Vanin Геннадий Внаин 25/8/2016

+1, dù sao nó cũng hữu ích với tôi vì hình nộm không có quyền truy cập vào AD / DC
Gennady Vanin Геннадий Внаин 25/8/2016

2
Ngoài đỉnh đầu của tôi (và tôi không có tên miền mới để kiểm tra, cũng không phải tài nguyên để xây dựng một), việc thêm Quản trị viên tên miền vào nhóm Quản trị viên cục bộ của mỗi máy là một phần của GPO Chính sách miền mặc định. Nếu đây là trường hợp, bạn chắc chắn có thể xóa Quản trị viên tên miền khỏi nhóm Quản trị viên địa phương của mình, nhưng họ sẽ được đưa trở lại trong lần làm mới Chính sách tiếp theo (Theo mặc định cứ sau 90 + [0-30] phút.)
gWaldo

Nó thế nào? Tôi đã hiểu từ serverfault.com/questions/173550/ và theo dõi rằng các nhóm và người dùng cục bộ trên các máy tính có tên miền của khách hàng giống hệt như trên các máy tính của nhóm làm việc (không tham gia hoặc tham gia trước vào miền) và không xác định được tên miền ( AD DC) ...
Gennady Vanin Геннадий Ванин

1
@JamesRyan đọc lại (chưa được chỉnh sửa): Nhóm dựng sẵn \ Quản trị viên có quyền truy cập Quản trị vào Bộ kiểm soát miền, nhưng không được tự động cấp quyền truy cập quản trị cho tất cả các máy tính trong miền, trong khi Quản trị viên tên miền thì có. Bộ điều khiển. Số nhiều.
gWaldo

10

Nhóm quản trị viên tên miền và nhóm được xây dựng AD \ Adminstrators (không phải nhóm quản trị viên cục bộ trên máy khách) cấp cho người dùng quyền đó một cách hiệu quả, tuy nhiên có một số khác biệt tinh tế:

  • dựng sẵn \ quản trị viên là một nhóm cục bộ miền, trong đó quản trị viên tên miền là một nhóm toàn cầu
  • Quản trị viên tên miền là một memeber của quản trị viên dựng sẵn
  • Quản trị viên tên miền là thành viên của nhóm quản trị viên cục bộ trên mỗi máy khách
  • Nhóm quản trị viên dựng sẵn có để cung cấp khả năng tương thích ngược với các hệ thống tiền AD

5

Đây là một câu hỏi với một câu trả lời đơn giản và phức tạp.

Câu trả lời đơn giản là luôn sử dụng nhóm quản trị viên tên miền.

Câu trả lời phức tạp là quản trị viên tên miền cung cấp cho quản trị viên mọi thứ (DC, máy chủ và máy trạm) trên miền. dựng sẵn \ Quản trị viên ban đầu chỉ cấp quyền truy cập cho tất cả các DC (đây là nhóm cục bộ nhưng được sao chép) nhưng không phải máy chủ hoặc máy trạm. Tuy nhiên, quyền truy cập của quản trị viên vào DC cung cấp khả năng nâng cao bản thân cho quản trị viên tên miền. Vì vậy, từ một bảo mật POV họ là tương đương.

Lý do chính được xây dựng \ quản trị viên tồn tại là để các chương trình kiểm tra quyền truy cập của quản trị viên có thể kiểm tra cùng một vị trí trên bất kỳ máy nào.

DC là chìa khóa cho lâu đài của bạn, bạn không bao giờ có thể cung cấp quản trị viên cho một người chứ không phải người khác (hiệu quả) hoặc máy chủ cục bộ và không phải toàn bộ tên miền vì vậy không nên có các chương trình / tệp chỉ yêu cầu quản trị viên cục bộ truy cập vào chúng.


+1 @JamesRyan, "đó là một nhóm địa phương nhưng được nhân rộng". Thật buồn cười, vì trong serverfault.com/questions/173550/ Ấn tôi đã được trả lời nhất trí rằng các nhóm / tài khoản địa phương không được nhận ra bên ngoài máy tính cục bộ. Mặc dù trong serverfault.com/questions/174196/... Tôi hỏi này "giấu tên" vì quản trị và quản trị có "Nổi tiếng An ninh định danh", xem technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Vào

Nó được nhân rộng như một nhóm Windows nổi tiếng hay là một nhóm địa phương, tôi tự hỏi?
Gennady Vanin Геннадий Ванин

Tại sao điều này được bỏ phiếu xuống khi nó là câu trả lời đúng? Không phải câu trả lời bạn muốn?
JamesRyan

@JamesRyan, tôi nêu lên câu trả lời của bạn là hữu ích. Đánh giá của tôi là khoảng 50 và tôi chưa bao giờ có trong bất kỳ trang web nào trong bộ ba 100 cần thiết để hạ cấp! Ngoài ra, AFAIK, tôi không thể downvote sau khi upvote
Gennady Vanin Геннадий Внаин 26/8/2016

Tôi đã nói chuyện với những kẻ hạ bệ
JamesRyan

4

Nhóm bultin / quản trị viên được tạo theo mặc định khi bạn cài đặt Windows. Nhóm này có quyền truy cập đầy đủ và không hạn chế vào máy tính. Theo mặc định, tài khoản người dùng duy nhất là thành viên của nhóm này là Quản trị viên.

Nhóm Quản trị viên tên miền chỉ có trong một miền Windows. Nhóm này có quyền truy cập đầy đủ và không hạn chế vào toàn bộ tên miền, có thể đăng nhập vào bất kỳ máy tính hoặc máy chủ nào là thành viên của tên miền.

Khi máy tính / máy chủ được thêm vào tên miền, nhóm quản trị viên tên miền sẽ tự động trở thành thành viên của nhóm dựng / quản trị viên, do đó cung cấp quyền truy cập cấp quản trị viên cấp quản trị viên vào máy tính.

Nếu bạn đã chuyển một tài khoản từ nhóm quản trị viên tên miền sang nhóm dựng sẵn / quản trị viên, tài khoản đó sẽ có thể quản trị máy tính cục bộ đó nhưng không có gì khác, trừ khi bạn thêm tài khoản vào các nhóm xây dựng / quản trị viên khác.


3
Tôi tin rằng anh ta đang nói về nhóm quản trị viên trong AD, không phải nhóm quản trị viên cục bộ trên PC của khách hàng
Sam Cogan

Anh ta là ai"? Nếu "anh ấy" là vgv8 thì tôi đã đặt một loạt các trích dẫn yêu cầu làm rõ chúng cho tôi!
Gennady Vanin Геннадий Внаин 25/8/2016

1
aleroot đúng ở chỗ nó là nhóm quản trị viên cục bộ nhưng không chính xác ở chỗ nó hoạt động khác với DC
JamesRyan

@JamesRyan, +1 vì đã cố gắng giải thích cho tôi. Câu trả lời của aleroot chỉ nhắc lại những gì tôi đã trích dẫn trong câu hỏi của mình. Tôi không thấy phần nào nói rằng nhóm Quản trị viên cục bộ "hoạt động khác với DC". Trong một bình luận khác, bạn nói rằng nhóm này (Quản trị viên cục bộ) được sao chép giữa các DC. Làm thế nào hành vi có thể giống nhau trên một máy chủ trước khi quảng cáo nó lên DC?
Gennady Vanin Геннадий Внаин 26/8/2016

@Sam Cogan, tôi đang nói về cách nhóm Quản trị viên cục bộ của máy chủ / máy trạm không có tên miền được thay đổi (hoặc không?) Bằng cách máy tính tham gia vào AD (nghĩa là trên máy khách). Trong bài đăng phụ huynh tôi đã được trả lời rằng không có sự khác biệt trong các nhóm và người dùng địa phương trước khi tham gia và sau đó.
Gennady Vanin Геннадий Внаин 26/8/2016
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.