Domänenadministratoren im Vergleich zu Administratoren in Windows AD DC [geschlossen]

16

Nachdem Sie im Microsoft Docs-Artikel Standardgruppen die Beschreibung dieser beiden Gruppen gelesen haben:

Domain-Administratoren

Mitglieder dieser Gruppe haben die volle Kontrolle über die Domain. Standardmäßig ist diese Gruppe Mitglied der Gruppe Administratoren auf allen Domänencontrollern, allen Domänenarbeitsstationen und allen Domänenmitgliedsservern zum Zeitpunkt des Beitritts zur Domäne. Standardmäßig ist das Administratorkonto Mitglied dieser Gruppe. Fügen Sie Benutzer mit Vorsicht hinzu, da die Gruppe über die vollständige Kontrolle in der Domäne verfügt. "

Administratoren

Mitglieder dieser Gruppe haben die vollständige Kontrolle über alle Domänencontroller in der Domäne. Standardmäßig sind die Gruppen Domänenadministratoren und Unternehmensadministratoren Mitglieder der Gruppe Administratoren. Das Administratorkonto ist ebenfalls ein Standardmitglied. Da diese Gruppe die vollständige Kontrolle über die Domäne hat, fügen Sie Benutzer mit Vorsicht hinzu. "

und dass derselbe Artikel besagt, dass beide Gruppen genau die gleiche Beschreibung ihrer Standardbenutzerrechte haben :

Greifen Sie über das Netzwerk auf diesen Computer zu. Passen Sie die Speicherkontingente für einen Prozess an. Sichern Sie Dateien und Verzeichnisse. Überprüfung der Bypass-Überquerung; Ändern Sie die Systemzeit. Erstellen Sie eine Auslagerungsdatei. Debug-Programme; Aktivieren Sie, dass Computer- und Benutzerkonten für die Delegierung als vertrauenswürdig eingestuft werden. Herunterfahren von einem Remote-System erzwingen; Erhöhen Sie die Planungspriorität. Laden und Entladen von Gerätetreibern; Lokale Anmeldung zulassen; Verwalten des Prüfungs- und Sicherheitsprotokolls Ändern Sie die Firmware-Umgebungswerte. Profil einzelner Prozess; Profil Systemleistung; Entfernen Sie den Computer von der Dockingstation. Wiederherstellen von Dateien und Verzeichnissen; Fahren Sie das System herunter. Übernehmen Sie das Eigentum an Dateien oder anderen Objekten.

Darüber hinaus enthält der Microsoft Docs-Artikel Lokale Standardgruppen die folgende Beschreibung der Gruppe Administratoren :

Mitglieder dieser Gruppe haben die volle Kontrolle über den Server und können Benutzern nach Bedarf Benutzerrechte und Zugriffsrechte zuweisen. Das Administratorkonto ist ebenfalls ein Standardmitglied. Wenn dieser Server einer Domäne angehört, wird die Gruppe der Domänenadministratoren dieser Gruppe automatisch hinzugefügt ... "

[Hervorhebung von mir]

Aus den obigen Gründen verstehe ich nicht:

  1. Was sind die Unterschiede zwischen ihnen?
  2. Wann soll welche in ihrer Standardinkarnation verwendet werden?
  3. Wie kann man sein Engagement spezialisieren?
  4. Wenn die Domain-Administratoren Mitglieder von Administratoren sind, sind sie dann nicht immer gleich?

Diese Frage ist Teilfrage von und wird im Zusammenhang mit der Frage gestellt. Handelt es sich bei dem Kontext des lokalen Benutzers eines AD-verbundenen Computers um ein Domänencomputerkonto oder um ein lokales Computerkonto?

Gennady Vanin Геннадий Ванин
quelle
vgv8 du hast deine frage geändert und eine antwort akzeptiert, die deine ursprüngliche frage nicht richtig beantwortet hat! Sie scheinen diesen Trick bei mehreren Ihrer Fragen angewendet zu haben. Ich rate Ihnen, sich mit dem richtigen Umgang mit Stapelüberlauf vertraut zu machen.
James Ryan
@JamesRyan, was habe ich in meiner Frage geändert ???? Das einzige, was ich in meinem Beitrag geändert habe, war das Hinzufügen von Update1.
Gennady Vanin Геннадий Ванин
Ihre ursprüngliche Frage war, wie unterscheiden sie sich in einer Domäne. Die Aktualisierungen und Kommentare haben sich geringfügig dahingehend geändert, wie sich die Unterschiede auf einem bestimmten Computer auswirken.
James Ryan
2
Diese Frage ist verwirrend und hat sich im Laufe des Lebens geändert. Sie unterscheidet sich jetzt erheblich von der Frage, die gestellt wurde. Folglich gibt es hier eine Reihe von Antworten, die alle unterschiedliche Fragen beantworten. Wenn sich der Fokus Ihrer Frage in Zukunft erheblich ändert, stellen Sie bitte eine neue Frage.
Sam Cogan
2
Ich habe dies zurückgesetzt, um den ganzen irrelevanten Mist zu entfernen, der keine Relevanz hat.
John Gardeniers

Antworten:

12

Bevor ein Domänencontroller zu dieser Rolle heraufgestuft wird, handelt es sich um einen einfachen Arbeitsgruppenserver (Standalone-Server) mit einem lokalen Administratorkonto und einer lokalen Administratorgruppe. Wenn Sie eine Domain erstellen, werden diese Konten nicht gelöscht. Sie werden als Domänenadministratorkonto und als Domäne der Gruppe "Builtin \ Administrators" in die Domäne aufgenommen.

Die Gruppe "Builtin \ Administrators" hat Administratorzugriff auf die Domänencontroller, erhält jedoch nicht automatisch Administratorzugriff auf alle Computer in der Domäne, wohingegen dies bei Domänenadministratoren der Fall ist.

gWaldo
quelle
Hallo Waldo, ich habe geglaubt, dass Domänenadministratoren Zugriff auf alle Computer erhalten, indem sie auf allen Domänencomputern in die lokale Gruppe Administratoren aufgenommen werden "Domänencontroller, alle Domänenarbeitsstationen und alle Domänenmitgliedsserver zum Zeitpunkt des Beitritts zur Domäne". Ich habe geglaubt, dass niemand Zugriff auf meinen Computer hat, ob domäniert oder nicht, wenn ich solche Berechtigungen (oder Einschlüsse) entferne. Wahr?
Gennady Vanin Геннадий Ванин
+1, trotzdem war es für mich als Dummy nützlich, keinen Zugang zu AD / DC zu haben
Gennady Vanin Геннадий Ванин
2
Das Hinzufügen von Domänenadministratoren zur lokalen Administratorgruppe auf jedem Computer ist ein Teil des Gruppenrichtlinienobjekts für Standarddomänenrichtlinien (und ich muss weder eine neue Domäne überprüfen noch Ressourcen aufbauen). In diesem Fall können Sie Domain-Admins sicher aus Ihrer lokalen Admins-Gruppe entfernen, diese werden jedoch bei der nächsten Richtlinienaktualisierung wiederhergestellt (standardmäßig alle 90 + [0-30] Minuten).
gWaldo
Wie ist das? Ich habe aus serverfault.com/questions/173550/… und Follow-up erfahren , dass lokale Gruppen und Benutzer auf PCs mit Clientdomäne genau die gleichen sind wie auf Arbeitsgruppencomputern (ohne Domänenbeitritt oder mit Domänenbeitritt) und der Domäne unbekannt ( AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan hat es erneut gelesen (es wird nicht bearbeitet): Die Gruppe "builtin \ Administrators" verfügt über Administratorzugriff auf die Domänencontroller, es wird jedoch nicht automatisch Administratorzugriff auf alle Computer in der Domäne gewährt, wohingegen dies für Domänenadministratoren gilt. Controller. Plural.
gWaldo
10

Die Domänenadministratorgruppe und die AD-Gruppe "builtin \ Adminstrators" (nicht die lokale Administratorgruppe auf Clients) gewähren Benutzern dieselben Rechte, es gibt jedoch einige geringfügige Unterschiede:

  • builtin \ administrators ist eine lokale Domänengruppe, wobei als Domänenadministratoren eine globale Gruppe angegeben ist
  • Domainadministratoren sind Mitglieder von builtin \ administrators
  • Domain-Administratoren sind ein Mitglied der lokalen Administratorengruppe auf jedem Client-PC
  • Die Gruppe builtin \ administrators dient dazu, die Abwärtskompatibilität mit Systemen vor AD zu gewährleisten
Sam Cogan
quelle
5

Dies ist eine Frage mit einer einfachen und einer komplizierten Antwort.

Einfache Antwort ist immer die Domain Admins Gruppe.

Komplizierte Antwort ist, dass die Domain-Administratoren den Administratoren alles (Domänencontroller, Server und Workstations) in der Domain geben. builtin \ Administrators gewährt zunächst nur Zugriff auf alle Domänencontroller (es handelt sich um eine lokale Gruppe, die jedoch repliziert wird), jedoch nicht auf Server oder Arbeitsstationen. Der Administratorzugriff auf einen Domänencontroller bietet jedoch die Möglichkeit, sich zum Domänenadministrator zu erheben. Aus Sicherheitsgründen sind sie also gleichwertig.

Der Hauptgrund dafür, dass "builtin \ administrators" vorhanden ist, besteht darin, dass Programme, die auf Administratorzugriff prüfen, auf jedem Computer denselben Ort überprüfen können.

Domänencontroller sind die Schlüssel für Ihr Schloss. Sie können niemals einen Administrator für einen anderen und nicht für einen anderen (effektiv) oder für den lokalen Server und nicht für die gesamte Domäne festlegen. Daher sollten keine Programme / Dateien vorhanden sein, für die ausschließlich lokaler Administratorzugriff erforderlich ist.

JamesRyan
quelle
+1 @JamesRyan, "es ist eine lokale Gruppe, wird aber repliziert". Komisch , weil in serverfault.com/questions/173550/… einstimmig geantwortet wurde, dass lokale Gruppen / Konten außerhalb des lokalen Computers nicht erkannt werden. Obwohl ich in serverfault.com/questions/174196/… diese "Anonymität" in Frage gestellt habe, da Administrator und Administratoren "Bekannte Sicherheitskennungen" haben, siehe technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин
Ist es als bekannte Windows-Gruppe oder als lokale Gruppe repliziert, frage ich mich?
Gennady Vanin Геннадий Ванин
Warum wurde das abgelehnt, wenn es die richtige Antwort ist? Nicht die Antwort, die Sie wollten?
James Ryan
@ James Ryan, ich habe Ihre Antwort als hilfreich bewertet. Meine Bewertung liegt bei ungefähr 50 und ich habe noch nie eine Trilogie-Seite mit 100 Seiten gehabt, die für das Downvoting benötigt wurde! Außerdem, AFAIK, kann ich nicht nach oben abstimmen
Gennady Vanin Геннадий Ванин
Ich habe mit den Downvotern gesprochen
JamesRyan
4

Die Gruppe bultin / administrators wird standardmäßig bei der Installation von Windows erstellt. Diese Gruppe hat vollständigen und uneingeschränkten Zugriff auf den Computer. Standardmäßig ist Administrator das einzige Benutzerkonto, das Mitglied dieser Gruppe ist.

Die Gruppe Domänenadministratoren ist nur in einer Windows-Domäne vorhanden. Diese Gruppe hat vollständigen und uneingeschränkten Zugriff auf die gesamte Domäne und kann sich bei jedem PC oder Server anmelden, der Mitglied der Domäne ist.

Wenn ein PC / Server zu einer Domäne hinzugefügt wird, wird die Gruppe der Domänenadministratoren automatisch Mitglied der Gruppe "Builtin / Administrators". Auf diese Weise erhalten die Domänenadministratoren auf Administratorebene Zugriff auf den Computer.

Wenn Sie ein Konto aus der Gruppe der Domänenadministratoren in die Gruppe der integrierten Administratoren verschoben haben, kann dieses Konto den lokalen Computer verwalten, jedoch nichts anderes, es sei denn, Sie haben das Konto anderen integrierten Administratorengruppen hinzugefügt.

aleroot
quelle
3
Ich glaube, er spricht über die Administratorgruppe in AD, nicht die lokale Administratorgruppe auf Client-PCs
Sam Cogan
Wer ist er"? Wenn "er" vgv8 ist, habe ich nur ein paar Zitate geschrieben, um sie mir zu erklären!
Gennady Vanin Геннадий Ванин
1
aleroot hat insofern recht, als es sich um die lokale Administratorgruppe handelt, ist jedoch insofern falsch, als es sich auf einem DC anders verhält
JamesRyan
@ James Ryan, +1 für den Versuch, mich zu erklären. Die Antwort von aleroot wiederholte nur, was ich in meiner Frage zitierte. Ich sehe nicht, in welchem ​​Teil es heißt, dass sich die lokale Administratorgruppe "auf einem DC anders verhält". In einem anderen Kommentar haben Sie angegeben, dass diese Gruppe (lokale Administratoren) zwischen Domänencontrollern repliziert wird. Wie kann das Verhalten auf einem Server identisch sein, bevor er zu DC hochgestuft wird?
Gennady Vanin Геннадий Ванин
@Sam Cogan, ich spreche darüber, wie die lokale Administratorgruppe eines nicht domänierten Servers / einer nicht domänierten Arbeitsstation durch den Beitritt eines Computers zu AD (dh auf dem Client-Computer) geändert wird (oder nicht?). Im Elternbeitrag wurde mir geantwortet, dass es vor und nach dem Beitritt keinen Unterschied zwischen lokalen Gruppen und Benutzern gibt.
Gennady Vanin Геннадий Ванин