Ringkasan Hasil Kebijakan Grup mengatakan DC adalah anggota "BUILTIN \ Administrator"

Setiap kali saya menjalankan dengan Group Policy Wizard Hasil dan pilih Domain Controller sebagai komputer target, menunjukkan ringkasan BUILTIN\Administratorsdalam daftar "Security Group Keanggotaan ketika Group Policy diterapkan" di bawah Computer Configuration, seperti yang digambarkan di bawah ini:

(Nama domain, pengguna dan komputer ditinggalkan)

Karena Pengontrol Domain bukan anggota Administrator (setidaknya bukan dari apa yang dapat saya lihat di ADUC), pertanyaan saya sederhana, mengapa?

Apakah Pengontrol Domain benar-benar anggota grup Administrator, atau apakah GPR hasilnya salah (dan mengapa)?

Ya, Anda melihatnya dengan benar.

Ayo lakukan percobaan.

Raih psexec dari Sysinternals. Transfer ke pengontrol domain Anda.

Jalankan psexec -s -i cmd.exepada pengontrol domain Anda.

Sekarang di command prompt baru Anda, ketik whoamidan whoami /groups. Anda akan melihat bahwa Anda sekarang adalah akun SYSTEM pada pengontrol domain Anda (alias $ DC01) dan bahwa Anda memang termasuk dalam grup Builtin \ Administrators.

Grup bawaan tersebut dibagi di antara pengontrol domain. Jadi, inilah sesuatu yang rapi:

Ketik start \\DC02\c$dari command prompt Anda. Itu harus meluncurkan Windows Explorer pada pengontrol domain Anda yang lain karena Anda ($ DC01) juga seorang administrator dari DC itu juga!

Pengontrol domain tidak memiliki SAM lokal dengan cara yang sama seperti mesin Windows biasa. (Ya mereka lakukan tetapi hanya digunakan dalam mode pemulihan.) Mereka semua berbagi grup AD Builtin, dan karena sistem Windows harus menjadi administrator itu sendiri agar dapat berfungsi, seperti halnya akun SISTEM pada mesin Windows lainnya, yang memberi kita efek samping yang menarik bahwa semua pengontrol domain akhirnya menjadi administrator satu sama lain.

Sunting: Membersihkan untuk anak cucu.