たび私は実行し、グループポリシーの結果ウィザードをターゲットコンピュータ、概要が示すようにドメインコントローラを選択BUILTIN\Administrators下に示すように、コンピュータの構成の下で、「グループポリシーが適用されたセキュリティグループのメンバーシップ」のリストに:
(ドメイン、ユーザー、およびコンピューター名は省略されています)
ドメインコントローラーは管理者のメンバーではないので(少なくともADUCで確認できるものからではありません)、私の質問は単に、なぜですか?
ドメインコントローラーは実際にはAdministratorsグループのメンバーですか、それともGPResultsが間違っていますか(およびその理由)?
回答:
はい、あなたはそれを正しく見ています。
実験してみましょう。
Sysinternalsからpsexecを入手します。ドメインコントローラーに転送します。
psexec -s -i cmd.exeドメインコントローラーで実行します。
新しいコマンドプロンプトで、whoamiとを入力しますwhoami /groups。ドメインコントローラ(別名DC01 $)のSYSTEMアカウントであり、実際にBuiltin \ Administratorsグループに属していることがわかります。
これらの組み込みグループは、ドメインコントローラー間で共有されます。ここにきちんとしたものがあります:
入力start \\DC02\c$コマンドプロンプトから。あなた(DC01 $)はそのDCの管理者でもあるため、他のドメインコントローラーでWindowsエクスプローラーを起動する必要があります。
通常のWindowsマシンとは異なり、ドメインコントローラーにはローカルSAMがありません。(そうですが、復元モードでのみ使用されます。)それらはすべてAD Builtinグループを共有します。Windowsシステムは、他のWindowsマシンのSYSTEMアカウントと同様に機能するために自身の管理者である必要があります。すべてのドメインコントローラーが相互に管理者になるという興味深い副作用があります。
編集:後世のために片付けます。