Admin Domain vs. Administrator di Windows AD DC [ditutup]

16

Setelah membaca di artikel Microsoft Documents Default mengelompokkan deskripsi dari dua grup ini:

Admin Domain

Anggota grup ini memiliki kontrol penuh terhadap domain. Secara default, grup ini adalah anggota grup Administrators di semua pengontrol domain, semua workstation domain, dan semua server anggota domain pada saat mereka bergabung dengan domain. Secara default, akun Administrator adalah anggota grup ini. Karena grup memiliki kontrol penuh dalam domain, tambahkan pengguna dengan hati-hati. "

Administrator

Anggota grup ini memiliki kontrol penuh dari semua pengontrol domain di domain. Secara default, grup Admin Domain dan Admin Perusahaan adalah anggota grup Administrator. Akun Administrator juga merupakan anggota default. Karena grup ini memiliki kontrol penuh dalam domain, tambahkan pengguna dengan hati-hati. "

dan bahwa artikel yang sama menyatakan kedua grup memiliki deskripsi yang sama persis tentang hak pengguna Default mereka :

Akses komputer ini dari jaringan; Sesuaikan kuota memori untuk suatu proses; Cadangkan file dan direktori; Lewati pemeriksaan traverse; Ubah waktu sistem; Buat pagefile; Program debugging; Memungkinkan akun komputer dan pengguna dipercaya untuk didelegasikan; Memaksa shutdown dari sistem jarak jauh; Meningkatkan prioritas penjadwalan; Muat dan keluarkan driver perangkat; Izinkan masuk secara lokal; Kelola log audit dan keamanan; Ubah nilai lingkungan firmware; Profil proses tunggal; Kinerja sistem profil; Lepaskan komputer dari stasiun dok; Pulihkan file dan direktori; Matikan sistem; Ambil kepemilikan file atau objek lain.

Lebih lanjut, artikel Microsoft Documents Grup lokal default menyertakan deskripsi tentang grup Administrator ini:

Anggota grup ini memiliki kontrol penuh terhadap server dan dapat memberikan hak pengguna dan izin kontrol akses kepada pengguna sebagaimana diperlukan. Akun Administrator juga merupakan anggota default. Ketika server ini bergabung ke suatu domain, grup Admin Domain secara otomatis ditambahkan ke grup ini ... "

[penekanan milikku]

Mengingat hal di atas, saya tidak mengerti:

  1. Apa perbedaan di antara mereka?
  2. Kapan harus menggunakan inkarnasi default mereka?
  3. Bagaimana cara mengkhususkan pertunangan mereka?
  4. Jika Admin Domain adalah anggota Administrator, bukankah itu membuat mereka selalu sama?

Pertanyaan ini adalah sub-pertanyaan dan ditanyakan dalam konteks pertanyaan. Apakah konteks pengguna lokal mesin yang bergabung dengan AD adalah akun mesin domain atau akun mesin lokal?

active-directory domain-controller groups Gennady Vanin Геннадий Ванин
sumber
vgv8 Anda telah mengubah pertanyaan Anda dan menerima jawaban yang tidak menjawab pertanyaan asli Anda dengan benar! Anda tampaknya telah memanfaatkan trik ini pada beberapa pertanyaan Anda. Saya menyarankan Anda belajar cara menggunakan stack overflow dengan benar.
JamesRyan
@ JamesRyan, apa yang telah saya ubah dalam pertanyaan saya ???? Satu-satunya hal yang saya ubah di posting saya adalah menambahkan Update1.
Gennady Vanin Геннадий Ванин
Pertanyaan awal Anda adalah bagaimana perbedaannya dalam suatu domain. Pembaruan dan komentar telah secara halus tetapi secara signifikan mengubahnya menjadi bagaimana perbedaan pada mesin tertentu.
JamesRyan
2
Pertanyaan ini membingungkan dan telah berubah selama hidupnya, sekarang sangat berbeda dengan ketika ditanya. Akibatnya ada sejumlah jawaban di sini, yaitu semua menjawab pertanyaan yang berbeda. Di masa depan, jika fokus pertanyaan Anda berubah secara signifikan, silakan ajukan pertanyaan baru.
Sam Cogan
2
Saya telah memutar ini kembali untuk menghapus semua omong kosong yang tidak memiliki relevansi.
John Gardeniers

Jawaban:

12

Sebelum Pengontrol Domain dipromosikan ke peran itu, itu adalah server workgroup sederhana (mandiri) dan memiliki akun Administrator lokal dan grup Administrator lokal. Saat Anda membuat domain, akun tersebut tidak hilang; mereka dimasukkan ke dalam domain sebagai akun Administrator domain dan domain yang dibangun di dalam grup \ Administrator.

Grup builtin \ Administrator memiliki akses Administratif ke Pengontrol Domain, tetapi tidak secara otomatis diberikan akses administratif ke semua komputer dalam domain, sedangkan Admin Domain adalah.

gWaldo
sumber
Hai, Waldo, saya percaya bahwa Admin Domain diberikan akses ke semua komputer dengan memasukkannya ke grup Administrator lokal di semua komputer yang di-domain, Lihat kutipan di postingan utama saya: "Secara default, grup ini adalah anggota grup Administrator di semua pengontrol domain, semua stasiun kerja domain, dan semua server anggota domain saat mereka bergabung ke domain ". Saya percaya bahwa tidak ada orang yang memiliki akses ke komputer saya, yang diberi domain atau tidak, jika saya menghapus izin tersebut (atau inklusi). Benar?
Gennady Vanin Геннадий Ванин
+1, bagaimanapun, itu berguna bagi saya karena dummy tidak memiliki akses ke AD / DC
Gennady Vanin Геннадий Ванин
2
Dari atas kepala saya (dan saya tidak memiliki domain perawan untuk memeriksa, atau sumber daya untuk membangun satu), penambahan Domain Admin ke grup Administrator lokal setiap mesin adalah bagian dari Kebijakan Domain Default GPO. Jika ini masalahnya, Anda tentu dapat menghapus Admin Domain dari grup Admin lokal Anda, tetapi mereka akan dimasukkan kembali selama refresh Kebijakan berikutnya (Secara default setiap 90 + [0-30] menit.)
gWaldo
Bagaimana itu? Saya mengerti dari serverfault.com/questions/173550/… dan menindaklanjuti bahwa grup dan pengguna lokal pada PC yang di-domain klien persis sama dengan komputer pada workgroup (non-gabung atau pra-gabung ke domain) dan tidak diketahui domain ( AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan membacanya lagi (tidak diedit): Grup builtin \ Administrators memiliki akses Administratif ke Pengontrol Domain, tetapi tidak secara otomatis diberikan akses administratif ke semua komputer dalam domain, sedangkan Admin Domain. Pengontrol. Jamak.
gWaldo
10

Grup admin domain, dan grup AD builtin \ Adminstrators (bukan grup admin lokal pada klien) secara efektif memberikan hak yang sama kepada pengguna, namun ada beberapa perbedaan halus:

  • builtin \ administrator adalah grup lokal domain, di mana admin domain adalah grup global
  • Admin domain adalah anggota administrator builtin \
  • Admin domain adalah anggota grup admin lokal di setiap komputer klien
  • Grup builtin \ administrator ada untuk memberikan kompatibilitas dengan sistem pra-AD
Sam Cogan
sumber
5

Ini adalah pertanyaan dengan jawaban yang sederhana dan rumit.

Jawaban sederhana selalu menggunakan grup admin domain.

Jawaban rumit adalah bahwa admin domain memberikan admin untuk semuanya (DC, server dan workstation) di domain. builtin \ Administrator awalnya hanya memberikan akses ke semua DC (ini adalah grup lokal tetapi direplikasi) tetapi tidak server atau workstation. Namun akses admin ke DC memberikan kemampuan untuk meningkatkan diri mereka ke admin domain. Jadi dari pov keamanan mereka setara.

Alasan utama builtin \ administrator ada adalah agar program yang memeriksa akses admin dapat memeriksa tempat yang sama pada mesin apa pun.

DC adalah kunci untuk kastil Anda, Anda tidak pernah dapat memberikan admin kepada satu dan bukan yang lain (secara efektif) atau ke server lokal dan bukan keseluruhan domain sehingga tidak boleh memiliki program / file yang memerlukan akses admin lokal hanya pada mereka.

JamesRyan
sumber
+1 @JamesRyan, "ini adalah grup lokal tetapi direplikasi". Lucu, karena di serverfault.com/questions/173550/… saya dengan suara bulat menjawab bahwa grup / akun lokal tidak dikenali di luar komputer lokal. Meskipun di serverfault.com/questions/174196/... Saya mempertanyakan "anonimitas" ini karena Administrator dan Administrator memiliki "Pengidentifikasi Keamanan yang Terkenal", lihat technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин
Apakah itu direplikasi sebagai grup Windows yang terkenal atau sebagai grup lokal, saya kira?
Gennady Vanin Геннадий Ванин
Mengapa ini ditolak ketika itu adalah jawaban yang tepat? Bukan jawaban yang Anda inginkan?
JamesRyan
@ JamesRyan, saya mengubah jawaban Anda sebagai membantu. Peringkat saya adalah sekitar 50 dan saya tidak pernah memiliki 100 trilogi situs yang diperlukan untuk downvoting! Selain itu, AFAIK, saya tidak dapat melakukan downvote setelah melakukan upvote
Gennady Vanin Геннадий Ванин
Saya sedang berbicara dengan para downvoters
JamesRyan
4

Grup bultin / administrator dibuat secara default ketika Anda menginstal Windows. Grup ini memiliki akses lengkap dan tidak terbatas ke komputer. Secara default, satu-satunya akun pengguna yang merupakan anggota grup ini adalah Administrator.

Grup Administrator Domain hanya ada dalam domain Windows. Grup ini memiliki akses lengkap dan tidak terbatas ke seluruh domain, dapat masuk ke pc atau server apa pun yang merupakan anggota domain.

Ketika pc / server ditambahkan ke domain, grup admin domain secara otomatis menjadi anggota grup builtin / administrator, sehingga memberikan akses tingkat administrator administrator domain ke komputer.

Jika Anda memindahkan akun dari grup admin domain ke grup builtin / adminstrator, akun itu akan dapat mengelola komputer lokal tersebut tetapi tidak ada yang lain, kecuali jika Anda menambahkan akun ke grup builtin / adminstrator lainnya.

aleroot
sumber
3
Saya percaya dia berbicara tentang grup administrator dalam AD, bukan grup admin lokal pada PC klien
Sam Cogan
Siapa dia"? Jika "dia" adalah vgv8 maka saya hanya menaruh banyak kutipan yang meminta klarifikasi kepada saya!
Gennady Vanin Геннадий Ванин
1
aleroot benar karena ini adalah grup admin lokal tetapi tidak benar karena ia berperilaku berbeda pada DC
JamesRyan
@ JamesRyan, +1 untuk mencoba menjelaskan saya. Jawaban oleh aleroot hanya mengulangi apa yang saya kutip dalam pertanyaan saya. Saya tidak melihat di bagian mana dikatakan bahwa grup Administrator lokal "berperilaku berbeda pada DC". Dalam komentar lain Anda menyatakan bahwa grup (Administrator lokal) ini direplikasi di antara DC. Bagaimana perilaku tersebut bisa sama di server sebelum mempromosikannya ke DC?
Gennady Vanin Геннадий Ванин
@ Sam Cogan, saya sedang berbicara tentang bagaimana grup Administrator lokal dari server / workstation non-domained diubah (atau tidak?) Oleh komputer yang bergabung dengan AD (yaitu, pada mesin klien). Di pos induk saya dijawab bahwa tidak ada perbedaan dalam grup lokal dan pengguna sebelum bergabung dan setelah.
Gennady Vanin Геннадий Ванин