Tóm tắt kết quả chính sách nhóm cho biết DC là thành viên của nhóm BUILTIN \ Quản trị viên

Bất cứ khi nào tôi chạy các kết quả phù thủy Group Policy và chọn một Domain Controller là máy tính mục tiêu, chương trình tóm tắt BUILTIN\Administratorstrong danh sách "Security Group Membership khi Group Policy được áp dụng" dưới Computer Configuration, như minh họa dưới đây:

(Tên miền, tên người dùng và máy tính bị bỏ lại)

Vì Bộ kiểm soát miền không phải là thành viên của Quản trị viên (ít nhất không phải từ những gì tôi có thể thấy trong ADUC), nên câu hỏi của tôi chỉ đơn giản là tại sao?

Bộ kiểm soát miền thực sự là thành viên của nhóm Quản trị viên hay GPResults sai (và tại sao)?

Vâng, bạn đang thấy điều đó một cách chính xác.

Hãy làm một thí nghiệm.

Lấy psexec từ Sysiternals. Chuyển nó vào bộ điều khiển miền của bạn.

Chạy psexec -s -i cmd.exetrên bộ điều khiển miền của bạn.

Bây giờ trong dấu nhắc lệnh mới của bạn, gõ whoamivà whoami /groups. Bạn sẽ thấy rằng bạn hiện là tài khoản HỆ THỐNG trên bộ điều khiển miền của mình (còn gọi là DC01 $) và bạn thực sự thuộc về nhóm Được xây dựng \ Quản trị viên.

Những nhóm dựng sẵn được chia sẻ giữa các bộ điều khiển miền. Vì vậy, đây là một cái gì đó gọn gàng:

Kiểu start \\DC02\c$ từ dấu nhắc lệnh của bạn. Nó sẽ khởi chạy Windows Explorer trên bộ điều khiển miền khác của bạn vì bạn (DC01 $) cũng là quản trị viên của DC đó!

Bộ kiểm soát miền không có SAM cục bộ giống như các máy Windows thông thường. (Họ cũng vậy nhưng nó chỉ được sử dụng trong chế độ khôi phục.) Tất cả họ đều chia sẻ các nhóm AD Buildin và vì một hệ thống Windows cần phải là quản trị viên của chính nó để hoạt động, giống như bất kỳ tài khoản HỆ THỐNG nào trên bất kỳ máy Windows nào khác, điều đó mang lại cho chúng ta hiệu ứng phụ thú vị mà tất cả các bộ điều khiển miền cuối cùng là quản trị viên của nhau.

Chỉnh sửa: Dọn dẹp cho hậu thế.