Domain Admins vs. Administrators in Windows AD DC [chiuso]

16

Dopo aver letto nell'articolo di Microsoft Documenti, Predefinito raggruppa la descrizione di questi due gruppi:

Domain Admins

I membri di questo gruppo hanno il pieno controllo del dominio. Per impostazione predefinita, questo gruppo è un membro del gruppo Amministratori su tutti i controller di dominio, tutte le workstation di dominio e tutti i server membri di dominio nel momento in cui vengono uniti al dominio. Per impostazione predefinita, l'account Administrator è un membro di questo gruppo. Poiché il gruppo ha il pieno controllo del dominio, aggiungi gli utenti con cautela. "

Amministratori

I membri di questo gruppo hanno il pieno controllo di tutti i controller di dominio nel dominio. Per impostazione predefinita, i gruppi Domain Admins ed Enterprise Admins sono membri del gruppo Administrators. L'account amministratore è anche un membro predefinito. Poiché questo gruppo ha il pieno controllo del dominio, aggiungi gli utenti con cautela. "

e che lo stesso articolo afferma che entrambi i gruppi hanno la stessa descrizione esatta dei loro diritti utente predefiniti :

Accedi a questo computer dalla rete; Regola le quote di memoria per un processo; Eseguire il backup di file e directory; Bypass check trasversale; Cambia l'ora del sistema; Crea un file di paging; Programmi di debug; Abilitare gli account del computer e degli utenti in modo attendibile per la delega; Forzare uno spegnimento da un sistema remoto; Aumentare la priorità di pianificazione; Caricare e scaricare i driver di dispositivo; Consenti accesso locale; Gestire il registro di controllo e sicurezza; Modifica i valori dell'ambiente firmware; Profilo singolo processo; Prestazioni del sistema di profilo; Rimuovere il computer dalla docking station; Ripristina file e directory; Spegni il sistema; Diventa proprietario di file o altri oggetti.

Inoltre, l'articolo Microsoft Documenti Gruppi locali predefiniti include questa descrizione del gruppo Amministratori :

I membri di questo gruppo hanno il pieno controllo del server e possono assegnare agli utenti i diritti dell'utente e le autorizzazioni di controllo dell'accesso, se necessario. L'account amministratore è anche un membro predefinito. Quando questo server viene unito a un dominio, il gruppo Domain Admins viene automaticamente aggiunto a questo gruppo ... "

[enfasi mia]

Alla luce di quanto sopra, non capisco:

  1. Quali sono le differenze tra loro?
  2. Quando usare quale nella loro incarnazione predefinita?
  3. Come specializzare il loro impegno?
  4. Se gli amministratori di dominio sono membri degli amministratori, non li rende sempre uguali?

Questa domanda è una sotto-domanda e viene posta nel contesto della domanda Il contesto dell'utente locale della macchina unita a AD è un account macchina di dominio o di un account macchina locale?

active-directory  domain-controller  groups 
Gennady Vanin Геннадий Ванин
fonte
vgv8 hai modificato la tua domanda e accettato una risposta che non ha risposto correttamente alla tua domanda originale! Sembra che tu abbia tirato questo trucco su molte delle tue domande. Vi consiglio di imparare come usare correttamente lo stack overflow.
JamesRyan,
@JamesRyan, cosa ho cambiato nella mia domanda ???? L'unica cosa che ho cambiato nel mio post è stata l'aggiunta di Update1.
Gennady Vanin Геннадий Ванин
La tua domanda originale era come sono diversi in un dominio. Gli aggiornamenti e i commenti lo hanno sottilmente ma significativamente cambiato in come sono diversi su una macchina specifica.
JamesRyan,
2
Questa domanda è confusa ed è cambiata nel corso della sua vita, ora è significativamente diversa da quando è stata posta. Di conseguenza ci sono un certo numero di risposte qui, che stanno tutti rispondendo a domande diverse. In futuro, se il focus della tua domanda cambia in modo significativo, ti preghiamo di porre una nuova domanda.
Sam Cogan,
2
L'ho ripristinato per rimuovere tutte le stronzate estranee che non hanno rilevanza.
John Gardeniers,

Risposte:

12

Prima che un controller di dominio venga promosso a quel ruolo, si tratta di un semplice server di gruppo di lavoro (autonomo) e dispone di un account di amministratore locale e di un gruppo di amministratori locali. Quando si crea un dominio, tali account non vanno via; sono incorporati nel dominio come account Amministratore dominio e gruppo predefinito \ Amministratori dominio.

Il gruppo incorporato \ Administrators ha accesso amministrativo ai controller di dominio, ma non gli viene automaticamente concesso l'accesso amministrativo a tutti i computer all'interno del dominio, mentre gli amministratori di dominio lo sono.

gWaldo
fonte
Ciao Waldo, credevo che agli amministratori di dominio fosse concesso l'accesso a tutti i computer includendoli nel gruppo Administrators locale su tutti i computer di dominio. Vedi la citazione nel mio post principale: "Per impostazione predefinita, questo gruppo è un membro del gruppo Administrators su tutti controller di dominio, tutte le stazioni di lavoro del dominio e tutti i server membri del dominio nel momento in cui sono uniti al dominio ". Ho creduto che nessuno abbia accesso al mio computer, di dominio o meno, se rimuovo tali permessi (o inclusioni). Vero?
Gennady Vanin Геннадий Ванин
+1, comunque mi è stato utile come manichino che non ha accesso ad AD / DC
Gennady Vanin Геннадий Ванин
2
Al di fuori della mia testa (e non ho un dominio vergine da controllare, né risorse per crearne uno), l'aggiunta di Domain Admins al gruppo Administrators locale di ogni macchina fa parte dell'oggetto Criteri di dominio predefinito. In questo caso, puoi certamente rimuovere Domain Admins dal tuo gruppo Admins locale, ma verranno reinseriti durante il prossimo aggiornamento delle policy (per impostazione predefinita ogni 90 + [0-30] minuti.)
gWaldo
Com'è? Ho capito da serverfault.com/questions/173550/… e ho verificato che i gruppi e gli utenti locali sui PC di dominio client sono esattamente gli stessi dei computer del gruppo di lavoro (non uniti o pre-uniti al dominio) e sconosciuti al dominio ( DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan lo legge di nuovo (non è stato modificato): il gruppo builtin \ Administrators ha accesso amministrativo ai controller di dominio, ma non gli viene automaticamente concesso l'accesso amministrativo a tutti i computer all'interno del dominio, mentre gli amministratori di dominio lo sono. Controller. Plurale.
gWaldo,
10

Il gruppo di amministratori di dominio e il gruppo incorporato AD \ amministratori (non il gruppo di amministratori locali sui client) concedono effettivamente agli utenti gli stessi diritti, tuttavia ci sono alcune sottili differenze:

  • builtin \ administrators è un gruppo locale di dominio, dove come amministratori di dominio è un gruppo globale
  • Gli amministratori di dominio sono membri di builtin \ amministratori
  • Gli amministratori di dominio sono membri del gruppo di amministratori locali su ciascun PC client
  • Il gruppo incorporato \ amministratori è lì per fornire la retrocompatibilità con i sistemi pre-AD
Sam Cogan
fonte
5

Questa è una domanda con una risposta semplice e complicata.

La risposta semplice è utilizzare sempre il gruppo amministratori di dominio.

La risposta complicata è che gli amministratori di dominio danno l'amministratore a tutto (controller di dominio, server e workstation) sul dominio. builtin \ Administrators inizialmente dà accesso solo a tutti i controller di dominio (è un gruppo locale ma viene replicato) ma non server o workstation. Tuttavia, l' accesso dell'amministratore a un controller di dominio offre la possibilità di elevarsi all'amministratore di dominio. Quindi da un punto di vista della sicurezza sono equivalenti.

Il motivo principale per cui esiste \ amministratori è che i programmi che controllano l'accesso dell'amministratore possono controllare lo stesso posto su qualsiasi macchina.

I controller di dominio sono le chiavi del tuo castello, non puoi mai dare l'amministratore a uno e non a un altro (in modo efficace) o al server locale e non all'intero dominio, quindi non dovrebbero avere programmi / file che richiedono l'accesso dell'amministratore locale solo su di essi.

JamesRyan
fonte
+1 @JamesRyan, "è un gruppo locale ma viene replicato". Divertente, perché in serverfault.com/questions/173550/… mi è stato risposto all'unanimità che gruppi / account locali non sono riconosciuti al di fuori del computer locale. Sebbene in serverfault.com/questions/174196/… ho messo in dubbio questo "anonimato" poiché l'amministratore e gli amministratori hanno "ben noti identificatori di sicurezza", vedere technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин,
Mi viene replicato come un noto gruppo di Windows o come gruppo locale?
Gennady Vanin Геннадий Ванин
Perché questo è stato votato verso il basso quando è la risposta giusta? Non è la risposta che volevi?
JamesRyan,
@JamesRyan, ho valutato la tua risposta come utile. La mia valutazione è di circa 50 e non ho mai avuto in nessun sito della trilogia 100 necessario per il downvoting! Inoltre, AFAIK, non posso sottovalutare dopo la votazione
Gennady Vanin Геннадий Ванин
Stavo parlando con i downvoter
JamesRyan il
4

Il gruppo bultin / amministratori viene creato per impostazione predefinita quando si installa Windows. Questo gruppo ha accesso completo e senza restrizioni al computer. Per impostazione predefinita, l'unico account utente membro di questo gruppo è Amministratore.

Il gruppo Domain Administrators è presente solo in un dominio Windows. Questo gruppo ha accesso completo e senza restrizioni all'intero dominio, in grado di accedere a qualsiasi PC o server membro del dominio.

Quando un pc / server viene aggiunto a un dominio, il gruppo amministratori di dominio diventa automaticamente un membro del gruppo incorporato / amministratori, fornendo così agli amministratori di dominio l'accesso a livello di amministratore al computer.

Se si spostava un account dal gruppo degli amministratori di dominio al gruppo incorporato / amministratori, quell'account sarebbe in grado di amministrare quel computer locale ma nient'altro, a meno che non si aggiungesse l'account ad altri gruppi integrati / amministratori.

aleroot
fonte
3
Credo che stia parlando del gruppo amministratori in AD, non del gruppo amministrativo locale sui PC client
Sam Cogan,
Chi è lui"? Se "lui" è vgv8, ho appena fatto un mucchio di citazioni chiedendomi di chiarirmi!
Gennady Vanin Геннадий Ванин
1
aleroot ha ragione nel dire che è il gruppo di amministratori locali, ma è errato in quanto si comporta diversamente su un controller di
dominio
@JamesRyan, +1 per aver cercato di spiegarmi. La risposta di aleroot ha appena ribadito ciò che ho citato nella mia domanda. Non vedo in quale parte si dice che il gruppo di amministratori locali "si comporta diversamente su un controller di dominio". In altri commenti hai dichiarato che questo gruppo (amministratori locali) viene replicato tra controller di dominio. Come può il comportamento essere lo stesso su un server prima di promuoverlo su DC?
Gennady Vanin Геннадий Ванин
@ Sam Cogan, sto parlando di come il gruppo di amministratori locali di un server / workstation non di dominio viene modificato (o no?) Dal computer che si unisce ad AD (cioè sul computer client). Nel post principale mi è stato risposto che non vi è alcuna differenza nei gruppi locali e negli utenti prima di aderire e dopo.
Gennady Vanin Геннадий Ванин
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.