Administratorzy domeny vs. Administratorzy w Windows AD DC [zamknięte]

Po przeczytaniu w artykule Microsoft Docs Grupy domyślne opis tych dwóch grup:

Administratorzy domeny

Członkowie tej grupy mają pełną kontrolę nad domeną. Domyślnie ta grupa jest członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich domeny w momencie ich przyłączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, ostrożnie dodawaj użytkowników. ”

Administratorzy

Członkowie tej grupy mają pełną kontrolę nad wszystkimi kontrolerami domeny w domenie. Domyślnie grupy Administratorzy domeny i Administratorzy przedsiębiorstwa są członkami grupy Administratorzy. Konto administratora jest również domyślnym członkiem. Ponieważ ta grupa ma pełną kontrolę w domenie, dodaj użytkowników ostrożnie ”.

oraz że w tym samym artykule stwierdzono, że obie grupy mają dokładnie taki sam opis swoich domyślnych uprawnień użytkownika :

Uzyskaj dostęp do tego komputera z sieci; Dostosuj przydziały pamięci dla procesu; Twórz kopie zapasowe plików i katalogów; Sprawdzanie obrotu pomostu; Zmień czas systemowy; Utwórz plik strony; Programy do debugowania; Włącz zaufanie do kont komputerów i użytkowników w kwestii delegowania; Wymuś zamknięcie ze zdalnego systemu; Zwiększ priorytet planowania; Ładowanie i rozładowywanie sterowników urządzeń; Zezwalaj na logowanie lokalne; Zarządzaj dziennikiem inspekcji i bezpieczeństwa; Zmodyfikuj wartości środowiskowe oprogramowania układowego; Pojedynczy proces profilu; Wydajność systemu profili; Usuń komputer ze stacji dokującej; Przywróć pliki i katalogi; Zamknij system; Przejmij na własność pliki lub inne obiekty.

Ponadto artykuł Microsoft Docs Domyślne grupy lokalne zawiera następujący opis grupy Administratorzy :

Członkowie tej grupy mają pełną kontrolę nad serwerem iw razie potrzeby mogą przypisywać użytkownikom prawa dostępu i uprawnienia kontroli dostępu. Konto administratora jest również domyślnym członkiem. Gdy ten serwer jest przyłączony do domeny, grupa Administratorzy domeny jest automatycznie dodawana do tej grupy ... ”

[moje podkreślenie]

Biorąc powyższe pod uwagę, nie rozumiem:

1. Jakie są między nimi różnice?
2. Kiedy stosować, które w ich domyślnym wcieleniu?
3. Jak specjalizować swoje zaangażowanie?
4. Jeśli administratorzy domeny są członkami administratorów, czyż nie czyni ich to zawsze równymi?

To pytanie jest podpytane i zadane w kontekście pytania. Czy kontekst lokalnego użytkownika maszyny dołączonej do AD jest kontem komputera domeny lub konta komputera lokalnego?

Zanim kontroler domeny zostanie awansowany do tej roli, jest to prosty serwer grupy roboczej (autonomiczny) i ma lokalne konto administratora oraz lokalną grupę administratorów. Podczas tworzenia domeny konta te nie znikają; są włączone do domeny jako konto administratora domeny i wbudowana grupa \ Administratorzy.

Wbudowana grupa \ Administratorzy ma dostęp administracyjny do kontrolerów domeny, ale nie ma automatycznie dostępu administracyjnego do wszystkich komputerów w domenie, podczas gdy administratorzy domeny to.

Grupa administratorów domeny, a wbudowana grupa AD \ Adminstrators (nie lokalna grupa administracyjna na klientach) skutecznie przyznaje użytkownikom takie same prawa, jednak istnieją pewne subtelne różnice:

• wbudowany \ administratorzy to grupa lokalna domeny, gdzie jako administratorzy domeny to grupa globalna
• Administratorzy domen są członkami wbudowanych \ administratorów
• Administratorzy domen są członkami lokalnej grupy administratorów na każdym komputerze klienckim
• Wbudowana grupa \ administrators zapewnia kompatybilność wsteczną z systemami sprzed AD

To pytanie ma prostą i skomplikowaną odpowiedź.

Prostą odpowiedzią jest zawsze użycie grupy administratorów domeny.

Skomplikowana odpowiedź jest taka, że ​​administratorzy domeny dają administratorowi wszystko (domeny, serwery i stacje robocze) w domenie. wbudowany \ Administratorzy początkowo daje dostęp tylko do wszystkich kontrolerów domeny (jest to grupa lokalna, ale jest replikowana), ale nie do serwerów ani stacji roboczych. Jednak dostęp administratora do kontrolera domeny umożliwia podniesienie się do poziomu administratora domeny. Więc z punktu widzenia bezpieczeństwa są one równoważne.

Głównym powodem, dla którego istnieją wbudowane \ administratorzy, jest to, że programy sprawdzające dostęp administratora mogą sprawdzać to samo miejsce na dowolnym komputerze.

DC to klucze do twojego zamku, nigdy nie możesz dać administratora jednemu, a nie drugiemu (skutecznie) lub lokalnemu serwerowi, a nie całej domenie, więc nie powinieneś mieć programów / plików, które wymagają lokalnego dostępu administratora tylko na nich.

Grupa bultin / administrators jest tworzona domyślnie podczas instalacji systemu Windows. Ta grupa ma pełny i nieograniczony dostęp do komputera. Domyślnie jedynym kontem użytkownika będącym członkiem tej grupy jest Administrator.

Grupa Administratorzy domeny jest obecna tylko w domenie Windows. Ta grupa ma pełny i nieograniczony dostęp do całej domeny, jest w stanie zalogować się do dowolnego komputera lub serwera, który jest członkiem domeny.

Po dodaniu komputera / serwera do domeny grupa administratorów domeny automatycznie staje się członkiem grupy wbudowanej / administratorów, zapewniając administratorom domeny dostęp na poziomie administratora do komputera.

Jeśli przeniesiesz konto z grupy administratorów domeny do grupy wbudowanych / administratorów, to konto będzie mogło administrować tym komputerem lokalnym, ale nic więcej, chyba że dodasz konto do innych wbudowanych / administratorów grup.