Ringkasan Hasil Kebijakan Grup mengatakan DC adalah anggota "BUILTIN \ Administrator"

14

Setiap kali saya menjalankan dengan Group Policy Wizard Hasil dan pilih Domain Controller sebagai komputer target, menunjukkan ringkasan BUILTIN\Administratorsdalam daftar "Security Group Keanggotaan ketika Group Policy diterapkan" di bawah Computer Configuration, seperti yang digambarkan di bawah ini:

Ringkasan Hasil Kebijakan Grup (Nama domain, pengguna dan komputer ditinggalkan)

Karena Pengontrol Domain bukan anggota Administrator (setidaknya bukan dari apa yang dapat saya lihat di ADUC), pertanyaan saya sederhana, mengapa?

Apakah Pengontrol Domain benar-benar anggota grup Administrator, atau apakah GPR hasilnya salah (dan mengapa)?

Mathias R. Jessen
sumber

Jawaban:

11

Ya, Anda melihatnya dengan benar.

Ayo lakukan percobaan.

Raih psexec dari Sysinternals. Transfer ke pengontrol domain Anda.

Jalankan psexec -s -i cmd.exepada pengontrol domain Anda.

Sekarang di command prompt baru Anda, ketik whoamidan whoami /groups. Anda akan melihat bahwa Anda sekarang adalah akun SYSTEM pada pengontrol domain Anda (alias $ DC01) dan bahwa Anda memang termasuk dalam grup Builtin \ Administrators.

Grup bawaan tersebut dibagi di antara pengontrol domain. Jadi, inilah sesuatu yang rapi:

Ketik start \\DC02\c$dari command prompt Anda. Itu harus meluncurkan Windows Explorer pada pengontrol domain Anda yang lain karena Anda ($ DC01) juga seorang administrator dari DC itu juga!

Pengontrol domain tidak memiliki SAM lokal dengan cara yang sama seperti mesin Windows biasa. (Ya mereka lakukan tetapi hanya digunakan dalam mode pemulihan.) Mereka semua berbagi grup AD Builtin, dan karena sistem Windows harus menjadi administrator itu sendiri agar dapat berfungsi, seperti halnya akun SISTEM pada mesin Windows lainnya, yang memberi kita efek samping yang menarik bahwa semua pengontrol domain akhirnya menjadi administrator satu sama lain.

Sunting: Membersihkan untuk anak cucu.

Ryan Ries
sumber
Baru saja pecah psexec, dan tentu saja. Itu sepenuhnya masuk akal :-) Jawaban yang bagus, terima kasih
Mathias R. Jessen
Lupa mengklarifikasi - DC tidak memiliki SAM lokal. (Yah mereka lakukan tetapi itu hanya digunakan dalam mode pemulihan.) Semua DC berbagi SAM yang sama, yang merupakan kelompok Builtin yang Anda lihat di ADUC.
Ryan Ries
Ya, saya menyadari itu (itu sebabnya saya masuk akal) :)
Mathias R. Jessen
2
Saya tidak tahu bahwa SYSTEM (secara implisit) adalah anggota Administrator ... selalu belajar sesuatu yang baru :-)
Massimo