Zusammenfassung der Gruppenrichtlinienergebnisse besagt, dass DC Mitglied von "BUILTIN \ Administrators" ist

Wann immer ich den Gruppenrichtlinienergebnis-Assistenten ausführe und einen Domänencontroller als Zielcomputer auswähle, wird die Zusammenfassung BUILTIN\Administratorsin der Liste "Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie" unter Computerkonfiguration angezeigt (siehe Abbildung unten):

(Domain, Benutzer und Computername weggelassen)

Da Domänencontroller kein Mitglied von Administratoren sind (zumindest nicht von dem, was ich in ADUC sehen kann), lautet meine Frage einfach: Warum?

Sind Domänencontroller tatsächlich Mitglieder der Gruppe Administratoren oder sind die GPR-Ergebnisse falsch (und warum)?

Ja, das sehen Sie richtig.

Lass uns ein Experiment machen.

Besorgen Sie sich psexec von Sysinternals. Übertragen Sie es auf Ihren Domänencontroller.

Führen Sie psexec -s -i cmd.exeauf Ihrem Domänencontroller.

Geben Sie nun in Ihrer neuen Eingabeaufforderung whoamiund ein whoami /groups. Sie werden feststellen, dass Sie jetzt das SYSTEM-Konto auf Ihrem Domänencontroller (auch bekannt als DC01 $) sind und tatsächlich zur Gruppe "Builtin \ Administrators" gehören.

Diese vordefinierten Gruppen werden von Domänencontrollern gemeinsam genutzt. Also hier ist etwas Ordentliches:

Geben start \\DC02\c$Sie an der Eingabeaufforderung ein. Es sollte Windows Explorer auf Ihrem anderen Domänencontroller starten, da Sie (DC01 $) auch Administrator dieses Domänencontrollers sind!

Domänencontroller verfügen nicht über eine lokale SAM wie normale Windows-Computer. (Gut, aber es wird nur im Wiederherstellungsmodus verwendet.) Alle Benutzer teilen sich die AD Builtin-Gruppen. Da ein Windows-System ein Administrator für sich sein muss, funktioniert es wie jedes SYSTEM-Konto auf jedem anderen Windows-Computer. Das gibt uns den interessanten Nebeneffekt, dass alle Domänencontroller Administratoren voneinander sind.

Edit: Aufräumen für die Nachwelt.