Il riepilogo dei risultati dei criteri di gruppo indica che DC è membro di "BUILTIN \ Administrators"

Ogni volta che eseguo la procedura guidata Risultato dei criteri di gruppo e seleziono un controller di dominio come computer di destinazione, il riepilogo viene visualizzato BUILTIN\Administratorsnell'elenco "Appartenenza al gruppo di sicurezza quando sono stati applicati i criteri di gruppo" in Configurazione computer, come illustrato di seguito:

(Dominio, nome utente e nome computer esclusi)

Poiché i controller di dominio non sono membri di amministratori (almeno non da ciò che posso vedere in ADUC), la mia domanda è semplicemente, perché?

I controller di dominio sono effettivamente membri del gruppo Administrators o GPResults è errato (e perché)?

Sì, lo stai vedendo correttamente.

Facciamo un esperimento.

Prendi psexec da Sysinternals. Trasferiscilo sul tuo controller di dominio.

Esegui psexec -s -i cmd.exesul tuo controller di dominio.

Ora nel nuovo prompt dei comandi, digitare whoamie whoami /groups. Vedrai che ora sei l'account SYSTEM sul tuo controller di dominio (noto anche come DC01 $) e che appartieni effettivamente al gruppo Builtin \ Administrators.

Quei gruppi predefiniti sono condivisi tra i controller di dominio. Quindi ecco qualcosa di pulito:

Digita start \\DC02\c$dal prompt dei comandi. Dovrebbe avviare Windows Explorer sull'altro controller di dominio perché anche tu (DC01 $) sei un amministratore di quel controller di dominio!

I controller di dominio non hanno un SAM locale allo stesso modo dei normali computer Windows. (Bene, ma viene utilizzato solo in modalità di ripristino.) Condividono tutti i gruppi predefiniti di AD e, poiché un sistema Windows deve essere un amministratore di se stesso per funzionare, proprio come qualsiasi account SYSTEM su qualsiasi altro computer Windows, questo ci dà l'interessante effetto collaterale che tutti i controller di dominio finiscono per essere amministratori l'uno dell'altro.

Modifica: pulizia per i posteri.