Zusammenfassung der Gruppenrichtlinienergebnisse besagt, dass DC Mitglied von "BUILTIN \ Administrators" ist

14

Wann immer ich den Gruppenrichtlinienergebnis-Assistenten ausführe und einen Domänencontroller als Zielcomputer auswähle, wird die Zusammenfassung BUILTIN\Administratorsin der Liste "Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie" unter Computerkonfiguration angezeigt (siehe Abbildung unten):

Zusammenfassung der Gruppenrichtlinienergebnisse (Domain, Benutzer und Computername weggelassen)

Da Domänencontroller kein Mitglied von Administratoren sind (zumindest nicht von dem, was ich in ADUC sehen kann), lautet meine Frage einfach: Warum?

Sind Domänencontroller tatsächlich Mitglieder der Gruppe Administratoren oder sind die GPR-Ergebnisse falsch (und warum)?

Mathias R. Jessen
quelle

Antworten:

11

Ja, das sehen Sie richtig.

Lass uns ein Experiment machen.

Besorgen Sie sich psexec von Sysinternals. Übertragen Sie es auf Ihren Domänencontroller.

Führen Sie psexec -s -i cmd.exeauf Ihrem Domänencontroller.

Geben Sie nun in Ihrer neuen Eingabeaufforderung whoamiund ein whoami /groups. Sie werden feststellen, dass Sie jetzt das SYSTEM-Konto auf Ihrem Domänencontroller (auch bekannt als DC01 $) sind und tatsächlich zur Gruppe "Builtin \ Administrators" gehören.

Diese vordefinierten Gruppen werden von Domänencontrollern gemeinsam genutzt. Also hier ist etwas Ordentliches:

Geben start \\DC02\c$Sie an der Eingabeaufforderung ein. Es sollte Windows Explorer auf Ihrem anderen Domänencontroller starten, da Sie (DC01 $) auch Administrator dieses Domänencontrollers sind!

Domänencontroller verfügen nicht über eine lokale SAM wie normale Windows-Computer. (Gut, aber es wird nur im Wiederherstellungsmodus verwendet.) Alle Benutzer teilen sich die AD Builtin-Gruppen. Da ein Windows-System ein Administrator für sich sein muss, funktioniert es wie jedes SYSTEM-Konto auf jedem anderen Windows-Computer. Das gibt uns den interessanten Nebeneffekt, dass alle Domänencontroller Administratoren voneinander sind.

Edit: Aufräumen für die Nachwelt.

Ryan Ries
quelle
Brach gerade psexec aus, und sicher genug. Das macht wirklich Sinn :-) Tolle Antwort, danke
Mathias R. Jessen
Vergaß zu klären - DCs haben keine lokale SAM. (Gut, aber es wird nur im Wiederherstellungsmodus verwendet.) Alle Domänencontroller haben dieselbe SAM, dh die in ADUC angezeigten Builtin-Gruppen.
Ryan Ries
Ja, mir ist klar, dass (das ist ein bisschen, warum ich Sinn mache) :)
Mathias R. Jessen
2
Ich wusste nicht, dass SYSTEM (implizit) ein Mitglied der Administratoren ist ... immer etwas Neues zu lernen :-)
Massimo