web-dev-qa-db-ja.com

Windows ADのドメイン管理者と管理者の比較DC

Microsoft Docsの記事 Default groups を読んで、これら2つのグループの説明:

ドメイン管理者

このグループのメンバーは、ドメインを完全に制御できます。既定では、このグループは、ドメインに参加した時点で、すべてのドメインコントローラー、すべてのドメインワークステーション、およびすべてのドメインメンバーサーバーのAdministratorsグループのメンバーです。デフォルトでは、管理者アカウントはこのグループのメンバーです。グループはドメインでフルコントロールを持っているので、注意してユーザーを追加してください。」

管理者

このグループのメンバーは、ドメイン内のすべてのドメインコントローラーを完全に制御できます。デフォルトでは、Domain AdminsグループとEnterprise AdminsグループはAdministratorsグループのメンバーです。管理者アカウントもデフォルトのメンバーです。このグループはドメインでフルコントロールを持っているので、注意してユーザーを追加してください。」

また、同じ記事に、両方のグループのデフォルトのユーザー権限の説明はまったく同じであると記載されています。

このコンピューターにネットワークからアクセスします。プロセスのメモリクォータを調整します。ファイルとディレクトリをバックアップします。トラバースチェックをバイパスします。システム時刻を変更します。ページファイルを作成します。プログラムをデバッグします。コンピューターとユーザーアカウントを委任に対して信頼できるようにします。リモートシステムから強制的にシャットダウンします。スケジューリングの優先順位を上げます。デバイスドライバをロードおよびアンロードします。ローカルでのログオンを許可します。監査とセキュリティログの管理。ファームウェア環境値を変更します。単一プロセスのプロファイル。システムパフォーマンスのプロファイル。ドッキングステーションからコンピュータを取り外します。ファイルとディレクトリを復元します。システムをシャットダウンします。ファイルまたはその他のオブジェクトの所有権を取得します。

さらに、Microsoft Docsの記事 Default local groups には、Administratorsグループの次の説明が含まれています。

このグループのメンバーはサーバーを完全に制御し、必要に応じてユーザーにユーザー権限とアクセス制御権限を割り当てることができます。管理者アカウントもデフォルトのメンバーです。 このサーバーがドメインに参加すると、Domain Adminsグループがこのグループに自動的に追加されます... "

[重点鉱山]

上記を考えると、私は理解していません:

  1. それらの違いは何ですか?
  2. デフォルトのインカネーションでいつ使用するのですか?
  3. 彼らの関与をどのように特化するか?
  4. Domain AdminsがAdministratorsのメンバーである場合、それはそれらを常に等しくしませんか?

この質問はサブ質問であり、質問のコンテキストで尋ねられます ADに参加しているマシンのローカルユーザーのコンテキストはドメインマシンアカウントですか、それともローカルマシンアカウントですか?

active-directorydomain-controllergroups
18
Gennady Vanin Геннадий Ванин

ドメインコントローラーがその役割に昇格する前は、ドメインコントローラーは単純なワークグループ(スタンドアロン)サーバーであり、ローカルのAdministratorアカウントとローカルのAdministratorsグループを持っています。ドメインを作成しても、これらのアカウントは削除されません。これらは、ドメイン管理者アカウントおよびドメインのbuiltin\Administratorsグループとしてドメインに組み込まれています。

Builtin\Administratorsグループにはドメインコントローラへの管理アクセス権がありますが、ドメイン内のすべてのコンピュータへの管理アクセス権は自動的には付与されませんが、ドメイン管理者には付与されます。

14
gWaldo

ドメイン管理者グループ、およびADビルトイン\管理者グループ(クライアントのローカル管理者グループではない)は、それらのユーザーに同じ権限を効果的に付与しますが、いくつかの微妙な違いがあります。

  • builtin\administratorsはドメインローカルグループで、ドメインadminsはグローバルグループです
  • ドメイン管理者は組み込み\管理者のメンバーです
  • ドメイン管理者は、各クライアントPCのローカル管理者グループのメンバーです
  • Builtin\administratorsグループは、AD以前のシステムとの下位互換性を提供するために存在します
10
Sam Cogan

これは、単純で複雑な答えの質問です。

簡単な答えは、常にドメイン管理者グループを使用することです。

複雑な答えは、そのドメイン管理者がドメイン上のすべて(DC、サーバー、ワークステーション)に管理者を与えることです。 builtin\Administratorsは、最初はall DC(ローカルグループですが複製されます)へのアクセスのみを許可しますが、サーバーやワークステーションへのアクセスは許可しません。ただし、管理者アクセスDCは、ドメイン管理者に昇格する機能を提供します。したがって、セキュリティの観点から、それらは同等です。

Builtin\administratorsが存在する主な理由は、管理者アクセスをチェックするプログラムが任意のマシンの同じ場所をチェックできるようにするためです。

DCはお城の鍵です。ドメイン全体ではなくローカルサーバーに管理者を与えることはできません。したがって、ローカル管理者アクセスのみを必要とするプログラムやファイルは必要ありません。

5
JamesRyan

Bultin/administratorsグループは、Windowsのインストール時にデフォルトで作成されます。このグループには、コンピューターへの完全かつ無制限のアクセス権があります。デフォルトでは、このグループのメンバーである唯一のユーザーアカウントはAdministratorです。

Domain Administratorsグループは、Windowsドメインにのみ存在します。このグループは、ドメイン全体への完全かつ無制限のアクセス権を持ち、ドメインのメンバーである任意のPCまたはサーバーにログオンできます。

Pc/serverがドメインに追加されると、domain adminsグループは自動的にbuiltin/administratorsグループのメンバーになり、ドメイン管理者にコンピューターへの管理者レベルのアクセスを提供します。

アカウントをドメイン管理者グループからビルトイン/管理者グループに移動した場合、他のビルトイン/管理者グループにアカウントを追加しない限り、そのアカウントはそのローカルコンピューターを管理できますが、それ以外は何もできません。

4
aleroot