Windows AD DCのドメイン管理者と管理者[非公開]

16

Microsoft Docsの記事Defaultを読んで、これら2つのグループの説明をグループ化します。

ドメイン管理者

このグループのメンバーは、ドメインを完全に制御できます。既定では、このグループは、すべてのドメインコントローラー、すべてのドメインワークステーション、およびドメインに参加した時点のすべてのドメインメンバーサーバーのAdministratorsグループのメンバーです。デフォルトでは、管理者アカウントはこのグループのメンバーです。グループはドメイン内で完全に制御できるため、ユーザーの追加には注意が必要です。」

管理者

このグループのメンバーは、ドメイン内のすべてのドメインコントローラーを完全に制御できます。既定では、Domain AdminsおよびEnterprise AdminsグループはAdministratorsグループのメンバーです。管理者アカウントもデフォルトのメンバーです。このグループはドメイン内で完全に制御できるため、ユーザーを追加する際は注意してください。」

また、同じ記事では、両方のグループがデフォルトのユーザー権限についてまったく同じ説明を持っていると述べています

ネットワークからこのコンピューターにアクセスします。プロセスのメモリクォータを調整します。ファイルとディレクトリをバックアップします。トラバースチェックのバイパス。システム時刻を変更します。ページファイルを作成します。プログラムのデバッグ。コンピューターとユーザーアカウントを委任に対して信頼できるようにします。リモートシステムから強制的にシャットダウンします。スケジューリングの優先度を上げます。デバイスドライバーのロードとアンロード。ローカルログオンを許可します。監査とセキュリティログを管理します。ファームウェア環境値を変更します。単一プロセスのプロファイル。システムパフォーマンスのプロファイル。ドッキングステーションからコンピューターを取り外します。ファイルとディレクトリを復元します。システムをシャットダウンします。ファイルまたは他のオブジェクトの所有権を取得します。

さらに、Microsoft Docsの記事Default local groupsには、Administratorsグループの次の説明が含まれています。

このグループのメンバーはサーバーを完全に制御し、必要に応じてユーザーにユーザー権限とアクセス制御許可を割り当てることができます。管理者アカウントもデフォルトのメンバーです。このサーバーがドメインに参加すると、Domain Adminsグループがこのグループに自動的に追加されます...」

[強調鉱山]

上記を考えると、私は理解していません:

  1. それらの違いは何ですか?
  2. デフォルトのインカネーションでどれを使用するのですか?
  3. エンゲージメントを専門化する方法は?
  4. ドメイン管理者が管理者のメンバーである場合、それらは常に同等になりませんか?

この質問はサブ質問であり、質問のコンテキストで尋ねられますAD参加マシンのローカルユーザーのコンテキストはドメインマシンアカウントですか、それともローカルマシンアカウントですか?

active-directory  domain-controller  groups 
Gennady VaninГеннадийВанин
ソース
vgv8質問を変更し、元の質問に適切に回答しなかった回答を受け入れました!あなたはいくつかの質問にこのトリックをかけたようです。スタックオーバーフローを適切に使用する方法を学ぶことをお勧めします。
ジェームズライアン
@JamesRyan、私の質問で何を変えましたか???? 投稿で変更したのは、Update1を追加することだけでした。
ジェナディバニンГеннадийВанин10年
元の質問は、ドメイン内でどのように異なるのかということでした。更新とコメントは微妙ですが、特定のマシンでの違いに大きく変わりました。
ジェームズライアン
2
この質問は混乱を招き、人生の経過とともに変化してきました。今では、質問されたときとは大きく異なります。したがって、ここには多くの答えがあり、それらはすべて異なる質問に答えています。今後、質問の焦点が大きく変わった場合は、新しい質問をしてください。
サムコーガン
2
これをロールバックして、関連性のない余分ながらくたをすべて削除しました。
ジョンガーデニアーズ

回答:

12

ドメインコントローラーがその役割に昇格する前は、単純なワークグループ(スタンドアロン)サーバーであり、ローカルのAdministratorアカウントとローカルのAdministratorsグループがあります。ドメインを作成しても、それらのアカウントは消えません。ドメイン管理者アカウントおよびドメインbuiltin \ Administratorsグループとしてドメインに組み込まれます。

builtin \ Administratorsグループにはドメインコントローラーへの管理アクセス権がありますが、ドメイン内のすべてのコンピューターへの管理アクセス権は自動的に付与されませんが、Domain Adminsはそうです。

グワルド
ソース
こんにちは、Waldo、ドメイン管理者は、すべてのドメインコンピューターのローカルAdministratorsグループに含めることで、すべてのコンピューターへのアクセスが許可されると信じていました。メインの投稿の引用を参照してください:「デフォルトでは、このグループは、すべてのAdministratorsグループのメンバーですドメインコントローラ、すべてのドメインワークステーション、およびすべてのドメインメンバーサーバーがドメインに参加しているとき」。そのような許可(またはインクルージョン)を削除した場合、ドメインに関係なく、私のコンピューターに誰もアクセスできないと考えました。本当?
ジェナディバニンГеннадийВанин10年
とにかく、AD / DCにアクセスできないダミーとして私にとっては有益
でした
2
頭上(およびチェックする新しいドメインも、構築するリソースもありません)、各マシンのローカルAdministratorsグループへのDomain Adminsの追加は、デフォルトドメインポリシーGPOの一部です。この場合、ローカル管理者グループからドメイン管理者を確実に削除できますが、次回のポリシー更新中に元に戻されます(デフォルトでは90 + [0-30]分ごと)
gWaldo
どうですか?私はから理解serverfault.com/questions/173550/...(とフォローアップクライアント上のローカルグループとユーザーは、PCがワークグループ上とまったく同じですドメイン化という(非加入またはドメインにあらかじめ参加)コンピュータとドメインに不明ですAD DC)...
Gennady VaninГеннадийВанин10年
1
@JamesRyanがもう一度読みました(編集されていません):builtin \ Administratorsグループにはドメインコントローラーへの管理アクセス権がありますが、ドメイン内のすべてのコンピューターへの管理アクセス権が自動的に付与されるわけではありません。コントローラー。複数。
gWaldo
10

ドメイン管理者グループ、およびAD builtin \ Adminstratorsグループ(クライアントのローカル管理者グループではない)は、それらのユーザーに実質的に同じ権限を付与しますが、いくつかの微妙な違いがあります。

  • builtin \ administratorsはドメインローカルグループで、ドメイン管理者はグローバルグループです
  • ドメイン管理者はbuiltin \ administratorsのメンバーです
  • ドメイン管理者は、各クライアントPCのローカル管理者グループのメンバーです
  • builtin \ administratorsグループは、AD以前のシステムとの後方互換性を提供するためにあります。
サム・コーガン
ソース
5

これは、単純で複雑な答えのある質問です。

簡単な答えは、常にドメイン管理者グループを使用することです。

複雑な答えは、ドメイン管理者がドメイン上のすべて(DC、サーバー、およびワークステーション)に管理者を与えるということです。builtin \ Administratorsは、最初はすべての DC(ローカルグループですが、複製されます)へのアクセスのみを許可しサーバーまたはワークステーションへのアクセスは許可しません。ただし、DCへの管理者アクセスにより、ドメイン管理者に昇格することができます。 したがって、セキュリティハメ撮りからは同等です。

builtin \ administratorsが存在する主な理由は、管理者アクセスをチェックするプログラムが任意のマシンの同じ場所をチェックできるようにするためです。

DCは城の鍵であり、ドメイン全体ではなく他の(効果的に)またはローカルサーバーに管理者を割り当てることはできません。

ジェームズ・ライアン
ソース
+1 @JamesRyan、「ローカルグループですが、複製されます」。面白いのは、serverfault.com / questions / 173550 / ...で、ローカルグループ/アカウントはローカルコンピューターの外部で認識されないと満場一致で答えられました。かかわらずserverfault.com/questions/174196/...管理者および管理者は、「既知のセキュリティ識別子」持っているので、私はこの「匿名性」を疑問視し、参照technet.microsoft.com/en-us/library/cc978401.aspx
ゲンナジーバニンГеннадийをВанин10年
Windowsグループによく知られているものとして、またはローカルグループとして複製されますか?
ジェナディバニンГеннадийВанин10年
それが正しい答えなのに、なぜこれが否決されたのですか?あなたが望んでいた答えではありませんか?
ジェームズライアン
@JamesRyan、私はあなたの答えが役に立つと支持しました。私の評価は約50で、ダウン投票に必要な3部作100のどのサイトでも持ったことはありません!また、私は、投票後、ダウン投票できません
Gennady VaninГеннадийВанин10年
私はdownvotersに話していた
ジェームズライアン
4

bultin / administratorsグループは、Windowsのインストール時にデフォルトで作成されます。このグループには、コンピューターへの完全かつ無制限のアクセス権があります。デフォルトでは、このグループのメンバーであるユーザーアカウントは管理者のみです。

Domain Administratorsグループは、Windowsドメインにのみ存在します。このグループには、ドメイン全体への完全かつ無制限のアクセス権があり、ドメインのメンバーである任意のpcまたはサーバーにログオンできます。

pc /サーバーがドメインに追加されると、ドメイン管理者グループは自動的にビルトイン/管理者グループのメンバーになり、ドメイン管理者にコンピューターへの管理者レベルのアクセスを提供します。

ドメイン管理者グループからビルトイン/管理者グループにアカウントを移動した場合、他のビルトイン/管理者グループにアカウントを追加しない限り、そのアカウントはそのローカルコンピューターを管理できますが、それ以外は何もできません。

アレルート
ソース
3
私は彼がADで管理者グループではなく、クライアントPCの上のローカル管理者グループについて話していると信じて
サム・コーガン
彼は誰"?「彼」がvgv8である場合、私はそれらを明確にするように要求する引用をたくさん付けました。
ジェナディバニンГеннадийВанин10年
1
alerootはローカル管理グループであるという点で正しいが、DCで異なる動作をするという点で正しくない
JamesRyan
@JamesRyan、私を説明しようとした+1。アレルートの答えは、私の質問で引用したことを繰り返したものです。ローカル管理者グループが「DC上で異なる動作をする」と言っている部分はわかりません。他のコメントでは、この(ローカル管理者)グループはDC間で複製されると述べました。サーバーをDCに昇格させる前に、サーバーでどのように動作を同じにすることができますか?
ジェナディバニンГеннадийВанин10年
@Sam Cogan、ADに参加しているコンピューター(つまり、クライアントコンピューター)によって、ドメイン化されていないサーバー/ワークステーションのローカルAdministratorsグループがどのように変更されるか(変更されないか)について話します。親の投稿では、参加前と参加後にローカルグループとユーザーに違いはないと答えました。
ジェナディバニンГеннадийВанин10年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.