-1

Для компьютеров, которые не находятся в домене, стандартные учетные записи и учетные записи администратора очень четкие. Стандартные учетные записи не могут выполнять функции администратора (без повышения прав, если включен контроль учетных записей), а учетные записи администратора могут,

Тем не менее, для компьютеров, подключенных к домену Active Directory, это различие кажется гораздо более мрачным. У некоторых пользователей могут быть некоторые права администратора, а у других - нет. Некоторые пользователи могут выполнять определенные административные задачи, а другие нет и т.д.

Как четко определяется различие? Если учетная запись имеет даже некоторые административные права, является ли она администратором? И если у него нет полных прав, это стандартная учетная запись?

А как насчет локальных администраторов против администраторов доменов ?

Также, например, как насчет пользователей с доступом к административной командной строке. Они могут вносить любые изменения на своем локальном компьютере, но не могут вносить изменения в свою собственную учетную запись пользователя, например, сделать себя администратором, если им не было делегировано это право. Но похоже, что это не имеет большого значения

2 ответа2

2

Различия точно такие же, но могут быть запутаны администратором, поскольку уровень доступного контроля намного более детализирован.

Когда компьютер присоединяется к домену Windows Server:

  • Группа "Пользователи домена" добавляется в локальную группу "Пользователи" - это означает, что все пользователи получают те же права, что и локальный пользователь.
  • Группа "Администраторы домена" добавляется в локальную группу "Администраторы" - это означает, что все администраторы домена становятся локальными администраторами вашего компьютера.

Есть несколько способов сделать вещи более сложными:

Групповая политика может использоваться для делегирования дополнительных разрешений. Предпочтения групповой политики можно использовать для добавления, удаления, замены или иного вмешательства в членство в любой локальной группе (вы можете просмотреть свои локальные группы, выполнив команду start > run > lusrmgr.msc и заглянув в контейнер "Groups").

Групповую политику также можно использовать, чтобы предоставить определенным пользователям права на действия, которые они обычно не могут выполнять в качестве ограниченного пользователя, такие как вход в систему как служба, компьютеры с удаленным рабочим столом, изменение системного времени без повышения уровня контроля учетных записей - см. Этот метод. ссылка для действительно длинного списка прав, которые могут быть делегированы (не будет публиковать в ответе, поскольку это уже очень долго)


Некоторые группы Active Directory также имеют специальные разрешения. Примером этого является группа "Операторы счета". Членство в этой группе позволяет пользователю сбросить пароль других пользователей, разрешить удаление / удаление машины из домена и целый другой список функций - но не допускает изменений, которые могли бы понизить / продвинуть контроллер домена, создать новый домен или иным образом связываться со схемой AD. В этой статье Technet объясняются группы по умолчанию и их права на стандартный готовый домен.


Существуют и другие методы, которые можно использовать для изменения прав (сценарии запуска powershell для изменения прав в реестре, автоматическое сопоставление принтеров, автоматическая установка программного обеспечения и т.д.), Но рассмотрение всех этих возможностей сделает этот ответ бесконечным. Если вы можете предоставить более конкретный пример типа защиты и прав, которые вас интересуют, или задать нам вопрос, основанный на сценариях, мы можем дать более точный ответ.

1

Я бы не сказал, что это различие "мрачнее", у вас просто более детальный контроль.

Администратор домена - абсолютный суперпользователь, он может делать все что угодно. Особенно в крупных организациях вы можете делегировать определенные административные права, не делая всех администратором домена. Например, вы можете определить одного или двух сотрудников в крупном отделе, которые имеют право сбрасывать пароли для своих членов команды, чтобы эти запросы не проходили через ИТ-поддержку. Но даже внутри самого ИТ-отдела вам может потребоваться, чтобы один человек отвечал за управление интернет-сервером. Этот человек не должен иметь никаких прав, связанных с (внутренним) управлением пользователями.

Короче говоря, вы можете настроить домен, используя очень простую терминологию, такую как "Администратор" и "Стандартные пользователи", так же, как вы делали бы это на отдельных компьютерах. Но чаще всего вам захочется использовать лучшие возможности управления.

Что касается вашего другого вопроса, я отсылаю вас по адресу : https://serverfault.com/questions/174200/domain-admins-vs-administrators-in-windows-ad-dc

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .