ローカル管理者グループに追加されたドメイン管理者が同じように動作しないのはなぜですか？

Question

私の質問は...

ドメインに新しいサーバーを追加するときに、ドメイン管理者にローカルの組み込みアカウント「管理者」で同じ権限を付与して、ドメイン管理者が自分の見た目以上にアクセス許可を絶えずエスカレートする必要がないようにするにはどうすればよいですか？

編集：

これは混乱を引き起こしているようですので...

私はドメインを持っており、そのドメイン管理者グループがメンバーになっています。ドメインに参加したばかりの新しいサーバーがあり、ローカルグループ「Administrators」にはメンバー「DomainAdmins」があるため、そのサーバーにログインできます。

したがって、このサーバーのドメイン管理者としての私もローカル管理者と見なされます。

ここで、サーバーに新しいアプリケーションをインストールしたいとします。これには管理者権限が必要です。

インストーラーを右クリックし、[管理者として実行]を選択すると、通常のUACダイアログがポップアップ表示されます。

そこに私の資格情報を入れました（私のドメインアカウントから、サーバーへのログインに使用したのと同じ資格情報）...そして検証メッセージでそれらの資格情報を拒否します...「要求された操作には昇格が必要です」。

だから私の質問は...

ローカルAdministratorsグループのメンバーであるDomainAdminsグループにいるときに、ドメイン管理者の資格情報がボックスのローカル管理者として機能するのに十分でないのはなぜですか？

代わりに、アカウントにインストールを実行する権限が付与される前に、ローカルマシンの「Administrator」という名前のアカウントにアクセス許可を「昇格」する必要があります。

Kinnectus · Accepted Answer

Microsoft TechNetの記事 https://technet.Microsoft.com/en-us/library/dd759094（v = ws.11）.aspx は、これに対する完璧な答えを提供します。そしてそれは、「ローカル管理者」アカウントでさえ、通常の日常活動のために「標準ユーザー」トークンで実行されているという事実と関係があります。

ユーザーアカウント制御で「完全な管理者トークンを使用して実行する」または「昇格したトークンを使用して実行する」とはどういう意味ですか？

適用対象：Windows Server 2008 R2

アプリケーションは通常、ローカルのAdministratorsグループのメンバーであるユーザーによってアプリケーションが起動された場合でも、標準のユーザーアクセストークンで付与されたアクセスレベルで実行されます。「完全な管理者アクセストークンで実行する」（「昇格されたアクセストークンで実行する」と呼ばれることもあります）は、アプリケーションが、管理者セキュリティ識別子（SID）を含むユーザーの完全な管理者アクセストークンの使用を許可されることを意味します。

注ユーザーは、ローカル管理者としてログオンしているか、ローカルAdministratorsグループのメンバーに資格情報を提供できる必要があります。

補足：この記事はServer 2008 R2に適用されますが、同じことがすべての最新のWindowsクライアントおよびサーバーバージョンにも適用されます。