ผู้ดูแลระบบโดเมนกับผู้ดูแลระบบใน Windows AD DC [ปิด]


16

ต้องอ่านในบทความ Microsoft Docs เริ่มต้นกลุ่มคำอธิบายของทั้งสองกลุ่ม:

ผู้ดูแลระบบโดเมน

สมาชิกของกลุ่มนี้มีการควบคุมโดเมนอย่างสมบูรณ์ โดยค่าเริ่มต้นกลุ่มนี้เป็นสมาชิกของกลุ่มผู้ดูแลระบบในตัวควบคุมโดเมนทั้งหมดเวิร์กสเตชันโดเมนทั้งหมดและเซิร์ฟเวอร์สมาชิกโดเมนทั้งหมดในเวลาที่เข้าร่วมกับโดเมน โดยค่าเริ่มต้นบัญชีผู้ดูแลระบบเป็นสมาชิกของกลุ่มนี้ เนื่องจากกลุ่มมีการควบคุมอย่างสมบูรณ์ในโดเมนให้เพิ่มผู้ใช้ด้วยความระมัดระวัง "

ผู้ดูแลระบบ

สมาชิกของกลุ่มนี้มีการควบคุมเต็มรูปแบบของตัวควบคุมโดเมนทั้งหมดในโดเมน โดยค่าเริ่มต้นกลุ่ม Domain Admins และ Enterprise Admins เป็นสมาชิกของกลุ่ม Administrators บัญชีผู้ดูแลระบบยังเป็นสมาชิกเริ่มต้น เนื่องจากกลุ่มนี้มีการควบคุมเต็มรูปแบบในโดเมนเพิ่มผู้ใช้ด้วยความระมัดระวัง "

และระบุว่าบทความเดียวกันทั้งสองกลุ่มมีคำอธิบายที่เหมือนกันเกี่ยวกับสิทธิ์ผู้ใช้เริ่มต้น :

เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย ปรับโควต้าหน่วยความจำสำหรับกระบวนการ สำรองไฟล์และไดเรกทอรี; บายพาสการตรวจสอบข้าม; เปลี่ยนเวลาของระบบ สร้าง pagefile; ดีบักโปรแกรม เปิดใช้งานบัญชีคอมพิวเตอร์และผู้ใช้ที่เชื่อถือได้สำหรับการมอบสิทธิ์ บังคับให้ปิดระบบจากระยะไกล เพิ่มลำดับความสำคัญของตาราง โหลดและยกเลิกการโหลดไดรเวอร์อุปกรณ์ อนุญาตให้เข้าสู่ระบบในเครื่อง จัดการการตรวจสอบและบันทึกความปลอดภัย แก้ไขค่าสภาพแวดล้อมของเฟิร์มแวร์ โพรไฟล์กระบวนการเดียว ประสิทธิภาพของระบบโปรไฟล์ นำคอมพิวเตอร์ออกจากสถานีขยาย กู้คืนไฟล์และไดเรกทอรี; ปิดระบบ เป็นเจ้าของไฟล์หรือวัตถุอื่น ๆ

นอกจากนี้บทความในเอกสาร Microsoft Microsoft กลุ่มโลคัลเริ่มต้นมีคำอธิบายนี้ของกลุ่มผู้ดูแลระบบ :

สมาชิกของกลุ่มนี้มีการควบคุมเต็มรูปแบบของเซิร์ฟเวอร์และสามารถกำหนดสิทธิ์ผู้ใช้และสิทธิ์การควบคุมการเข้าถึงให้กับผู้ใช้ตามความจำเป็น บัญชีผู้ดูแลระบบยังเป็นสมาชิกเริ่มต้น เมื่อเซิร์ฟเวอร์นี้เข้าร่วมกับโดเมนกลุ่ม Domain Admins จะถูกเพิ่มในกลุ่มนี้โดยอัตโนมัติ ... "

[เน้นเหมือง]

จากที่กล่าวมาฉันไม่เข้าใจ:

  1. ความแตกต่างระหว่างพวกเขาคืออะไร?
  2. จะใช้เมื่อใดในการเริ่มต้นชาติ
  3. จะชำนาญการหมั้นของพวกเขาอย่างไร?
  4. หากผู้ดูแลระบบโดเมนเป็นสมาชิกของผู้ดูแลระบบจะไม่ทำให้พวกเขาเสมอกันหรือ

คำถามนี้เป็นคำถามย่อยและถามในบริบทของคำถามบริบทของผู้ใช้ภายในของเครื่องที่เข้าร่วมกับ AD เป็นบัญชีเครื่องโดเมนหรือบัญชีเครื่องภายในหรือไม่


vgv8 คุณได้เปลี่ยนคำถามของคุณและยอมรับคำตอบที่ไม่ตอบคำถามเดิมของคุณอย่างถูกต้อง! คุณดูเหมือนจะดึงเคล็ดลับนี้มาจากคำถามหลายข้อของคุณ ฉันแนะนำให้คุณเรียนรู้วิธีการใช้งานสแตกล้นอย่างเหมาะสม
JamesRyan

@JamesRyan ฉันมีอะไรเปลี่ยนแปลงในคำถามของฉัน ???? สิ่งเดียวที่ฉันเปลี่ยนแปลงในโพสต์ของฉันคือการเพิ่ม Update1
Gennady Vanin ГеннадийВанин

คำถามเดิมของคุณคือความแตกต่างในโดเมนอย่างไร การอัปเดตและความคิดเห็นมีความละเอียด แต่เปลี่ยนไปเป็นความแตกต่างในเครื่องเฉพาะ
JamesRyan

2
คำถามนี้ทำให้เกิดความสับสนและมีการเปลี่ยนแปลงตลอดชีวิตของมันตอนนี้มันแตกต่างกันอย่างมีนัยสำคัญเมื่อมันถูกถาม ดังนั้นจึงมีคำตอบจำนวนมากที่นี่ซึ่งล้วนตอบคำถามที่แตกต่างกัน ในอนาคตหากคำถามของคุณมีการเปลี่ยนแปลงอย่างมีนัยสำคัญโปรดถามคำถามใหม่
แซมโคแกน

2
ฉันย้อนกลับไปนี้เพื่อลบอึภายนอกที่ไม่มีความเกี่ยวข้อง
John Gardeniers

คำตอบ:


12

ก่อนที่ตัวควบคุมโดเมนจะได้รับการเลื่อนตำแหน่งให้เป็นบทบาทนั้นจะเป็นเซิร์ฟเวอร์เวิร์กกรุ๊ป (แบบสแตนด์อโลน) อย่างง่ายและมีบัญชีผู้ดูแลระบบภายในและกลุ่มผู้ดูแลระบบท้องถิ่น เมื่อคุณสร้างโดเมนบัญชีเหล่านั้นจะไม่หายไปไหน พวกเขารวมอยู่ในโดเมนเป็นบัญชีผู้ดูแลโดเมนและกลุ่มโดเมน builtin \ Administrators

กลุ่ม builtin \ Administrators มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสำหรับ Domain Controllers แต่ไม่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบโดยอัตโนมัติไปยังคอมพิวเตอร์ทุกเครื่องภายในโดเมนในขณะที่ Domain Admins คือ


สวัสดี Waldo ฉันเชื่อว่า Domain Admins ได้รับอนุญาตให้เข้าถึงคอมพิวเตอร์ทุกเครื่องโดยรวมไว้ในกลุ่มผู้ดูแลระบบท้องถิ่นบนคอมพิวเตอร์ที่มีโดเมนทั้งหมดดูการอ้างอิงในโพสต์หลักของฉัน: "โดยค่าเริ่มต้นกลุ่มนี้เป็นสมาชิกของกลุ่มผู้ดูแลระบบทั้งหมด ตัวควบคุมโดเมนเวิร์กสเตชันของโดเมนทั้งหมดและเซิร์ฟเวอร์สมาชิกของโดเมนทั้งหมดในเวลาที่พวกเขาจะเข้าร่วมกับโดเมน " ฉันเชื่อว่าไม่มีใครสามารถเข้าถึงคอมพิวเตอร์ของฉันมีโดเมนหรือไม่หากฉันลบการอนุญาต (หรือการรวม) จริงหรือไม่?
Gennady Vanin ГеннадийВанин

+1 อย่างไรก็ตามมันมีประโยชน์กับฉันเหมือนหุ่นที่ไม่มีสิทธิ์เข้าถึงโฆษณา / DC
Gennady Vanin ГеннадийВанин

2
จากด้านบนของหัว (และฉันไม่มีโดเมนบริสุทธิ์ที่จะตรวจสอบหรือทรัพยากรที่จะสร้าง) การเพิ่ม Domain Admins ให้กับกลุ่ม Administrators ของเครื่องแต่ละเครื่องเป็นส่วนหนึ่งของนโยบายโดเมนเริ่มต้นของ GPO หากเป็นกรณีนี้คุณสามารถลบ Domain Admins ออกจากกลุ่มผู้ดูแลระบบของคุณได้ แต่จะถูกนำกลับมาใช้ใหม่ในระหว่างการรีเฟรชนโยบายครั้งถัดไป (ตามค่าเริ่มต้นทุกๆ 90 + [0-30] นาที)
gWaldo

มันเป็นอย่างไร ฉันเข้าใจจากserverfault.com/questions/173550/…และติดตามว่ากลุ่มโลคัลและผู้ใช้บนพีซีที่มีโดเมนไคลเอนต์นั้นเหมือนกับในเวิร์กกรุ๊ป (ไม่ได้เข้าร่วมหรือเข้าร่วมล่วงหน้ากับโดเมน) และไม่รู้จักโดเมน ( โฆษณา DC) ...
Gennady Vanin ГеннадийВанин

1
@JamesRyan อ่านอีกครั้ง (ยังไม่ได้แก้ไข): กลุ่ม builtin \ Administrators มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบใน Domain Controllers แต่ไม่ได้รับอนุญาตการเข้าถึงระดับผู้ดูแลระบบอัตโนมัติให้กับคอมพิวเตอร์ทุกเครื่องภายในโดเมนในขณะที่ Domain Admins คือ ตัวควบคุม พหูพจน์.
gWaldo

10

กลุ่มผู้ดูแลโดเมนและกลุ่ม AD builtin \ Adminstrators (ไม่ใช่กลุ่มผู้ดูแลระบบภายในเครื่องบนไคลเอนต์) ให้สิทธิ์ผู้ใช้ในสิทธิ์เดียวกันกับพวกเขาได้อย่างมีประสิทธิภาพอย่างไรก็ตามมีความแตกต่างเล็กน้อย:

  • builtin \ administrator คือกลุ่มโลคัลโดเมนซึ่งในฐานะที่เป็นผู้ดูแลโดเมนคือกลุ่มส่วนกลาง
  • ผู้ดูแลระบบโดเมนนั้นเป็น memeber ของ builtin \ administrator
  • ผู้ดูแลระบบโดเมนเป็นสมาชิกของกลุ่มผู้ดูแลระบบในเครื่องลูกข่ายแต่ละเครื่อง
  • กลุ่ม builtin \ administrator อยู่ที่นั่นเพื่อให้ความเข้ากันได้ย้อนหลังกับระบบก่อนโฆษณา

5

นี่เป็นคำถามที่มีคำตอบที่ง่ายและซับซ้อน

คำตอบง่ายๆคือใช้กลุ่มผู้ดูแลโดเมนเสมอ

คำตอบที่ซับซ้อนคือผู้ดูแลโดเมนให้สิทธิ์ผู้ดูแลระบบทุกสิ่ง (DCs เซิร์ฟเวอร์และเวิร์กสเตชัน) ในโดเมน builtin \ Administrators เริ่มต้นให้การเข้าถึงDC ทั้งหมดเท่านั้น (เป็นกลุ่มโลคัล แต่ได้รับการจำลองแบบ) แต่ไม่ใช่เซิร์ฟเวอร์หรือเวิร์กสเตชัน อย่างไรก็ตามการเข้าถึงของผู้ดูแลระบบไปยัง DC ช่วยให้สามารถยกระดับตนเองเป็นผู้ดูแลโดเมน ดังนั้นจากการรักษาความปลอดภัยพวกเขาจะเทียบเท่า

เหตุผลหลักที่มีอยู่แล้ว \ administrator คือเพื่อให้โปรแกรมที่ตรวจสอบการเข้าถึงของผู้ดูแลระบบสามารถตรวจสอบสถานที่เดียวกันในเครื่องใดก็ได้

DCs คือกุญแจสู่ปราสาทของคุณคุณไม่สามารถมอบให้ผู้ดูแลระบบคนใดคนหนึ่งและไม่ใช่คนอื่น (อย่างมีประสิทธิภาพ) หรือเซิร์ฟเวอร์ท้องถิ่นและไม่ใช่ทั้งโดเมนดังนั้นจึงไม่ควรมีโปรแกรม / ไฟล์ที่ต้องใช้ผู้ดูแลระบบท้องถิ่นเท่านั้น


+1 @JamesRyan "เป็นกลุ่มท้องถิ่น แต่ได้รับการทำซ้ำ" ตลกเพราะในserverfault.com/questions/173550/…ฉันได้รับคำตอบอย่างเป็นเอกฉันท์ว่ากลุ่ม / บัญชีท้องถิ่นไม่ได้รับการยอมรับนอกคอมพิวเตอร์ แม้ว่าในserverfault.com/questions/174196/...ฉันถามนี้ "ตัวตน" เพราะผู้ดูแลระบบและผู้บริหารมี "ที่รู้จักกันดีการรักษาความปลอดภัยตัวบ่งชี้" ดูtechnet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин

มันจำลองแบบเป็นที่รู้จักกันดีในกลุ่ม Windows หรือเป็นกลุ่มท้องถิ่นฉันสงสัย?
Gennady Vanin ГеннадийВанин

ทำไมสิ่งนี้จึงถูกโหวตเมื่อมันเป็นคำตอบที่ถูกต้อง? ไม่ใช่คำตอบที่คุณต้องการใช่ไหม
JamesRyan

@JamesRyan ฉันสนับสนุนคำตอบของคุณเป็นประโยชน์ การให้คะแนนของฉันอยู่ที่ประมาณ 50 และฉันไม่เคยมีในเว็บไซต์ไตรภาค 100 ใด ๆ ที่จำเป็นสำหรับการ downvoting! นอกจากนี้ AFAIK ฉันไม่สามารถลงคะแนนหลังจาก
โหวตได้

ฉันกำลังพูดคุยกับ downvoters
JamesRyan

4

กลุ่ม bultin / administrator ถูกสร้างขึ้นตามค่าเริ่มต้นเมื่อคุณติดตั้ง Windows กลุ่มนี้มีการเข้าถึงคอมพิวเตอร์อย่างสมบูรณ์และไม่ จำกัด โดยค่าเริ่มต้นบัญชีผู้ใช้เท่านั้นที่เป็นสมาชิกของกลุ่มนี้คือผู้ดูแลระบบ

กลุ่ม Domain Administrators จะปรากฏในโดเมน Windows เท่านั้น กลุ่มนี้มีการเข้าถึงที่สมบูรณ์และไม่ จำกัด ทั้งโดเมนสามารถเข้าสู่ระบบพีซีหรือเซิร์ฟเวอร์ใด ๆ ที่เป็นสมาชิกของโดเมน

เมื่อเพิ่มพีซี / เซิร์ฟเวอร์ลงในโดเมนกลุ่มผู้ดูแลโดเมนจะกลายเป็นสมาชิกของกลุ่มผู้ดูแลระบบ / ผู้ดูแลระบบโดยอัตโนมัติซึ่งจะช่วยให้ผู้ดูแลระบบโดเมนสามารถเข้าถึงคอมพิวเตอร์ในระดับผู้ดูแลระบบ

หากคุณย้ายบัญชีจากกลุ่มผู้ดูแลโดเมนไปยังกลุ่ม builtin / adminstrators บัญชีนั้นจะสามารถจัดการคอมพิวเตอร์เครื่องนั้นได้ แต่ไม่มีอะไรอื่นนอกจากคุณจะเพิ่มบัญชีไปยังกลุ่ม builtin / adminstrators อื่น ๆ


3
ฉันเชื่อว่าเขากำลังพูดถึงกลุ่มผู้ดูแลระบบในโฆษณาไม่ใช่กลุ่มผู้ดูแลระบบในเครื่องพีซีของลูกค้า
Sam Cogan

เขาคือใคร"? หาก "เขา" เป็น vgv8 จากนั้นฉันก็ใส่ใบเสนอราคาจำนวนมากขอให้ชี้แจงให้ฉัน!
Gennady Vanin ГеннадийВанин

1
aleroot ถูกต้องว่าเป็นกลุ่มผู้ดูแลระบบในท้องถิ่น แต่ไม่ถูกต้องว่าจะทำงานแตกต่างกันใน DC
JamesRyan

@JamesRyan +1 สำหรับพยายามอธิบายฉัน คำตอบโดยแจ้งเตือนเพียงแค่ย้ำสิ่งที่ฉันอ้างในคำถามของฉัน ฉันไม่เห็นว่าส่วนใดที่กล่าวว่ากลุ่มผู้ดูแลระบบท้องถิ่น "ทำงานผิดปกติใน DC" ในความคิดเห็นอื่นคุณระบุว่ากลุ่ม (ผู้ดูแลระบบท้องถิ่น) นี้ถูกจำลองแบบระหว่าง DCs พฤติกรรมนั้นจะเหมือนกันบนเซิร์ฟเวอร์ก่อนที่จะโปรโมตให้ DC หรือไม่
Gennady Vanin ГеннадийВанин

@ Sam Cogan ฉันกำลังพูดถึงว่ากลุ่มผู้ดูแลระบบภายในของเซิร์ฟเวอร์ / เวิร์กสเตชันไม่มีการเปลี่ยนแปลงโดเมน (หรือไม่?) โดยคอมพิวเตอร์เข้าร่วมกับ AD (นั่นคือบนเครื่องไคลเอนต์) ในโพสต์หลักฉันตอบว่าไม่มีความแตกต่างในกลุ่มและผู้ใช้ในพื้นที่ก่อนเข้าร่วมและหลัง
Gennady Vanin ГеннадийВанин
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.