Администраторы домена против администраторов в Windows AD DC [закрыто]

Прочитав в статье Microsoft Docs статью Default, группирует описание этих двух групп:

Администраторы домена

Члены этой группы имеют полный контроль над доменом. По умолчанию эта группа является членом группы «Администраторы» на всех контроллерах домена, всех рабочих станциях домена и всех членских серверах домена в момент их присоединения к домену. По умолчанию учетная запись администратора является членом этой группы. Поскольку группа имеет полный контроль над доменом, добавляйте пользователей с осторожностью ».

Администраторы

Члены этой группы имеют полный контроль над всеми контроллерами домена в домене. По умолчанию группы «Администраторы домена» и «Администраторы предприятия» являются членами группы «Администраторы». Учетная запись администратора также является членом по умолчанию. Поскольку эта группа имеет полный контроль над доменом, добавляйте пользователей с осторожностью ».

и что в той же статье говорится, что обе группы имеют одно и то же описание своих прав пользователя по умолчанию :

Доступ к этому компьютеру из сети; Настроить квоты памяти для процесса; Резервное копирование файлов и каталогов; Обход обхода; Изменить системное время; Создать файл подкачки; Отладочные программы; Включите учетные записи компьютеров и пользователей в качестве доверенных для делегирования; Принудительное отключение от удаленной системы; Увеличить приоритет планирования; Загрузка и выгрузка драйверов устройств; Разрешить вход локально; Управление аудитом и журналом безопасности; Изменить значения среды прошивки; Профиль единого процесса; Профиль системы производительности; Удалить компьютер из док-станции; Восстановить файлы и каталоги; Выключить систему; Взять на себя ответственность за файлы или другие объекты.

Кроме того, статья Microsoft Docs « Локальные группы по умолчанию» включает в себя описание группы « Администраторы »:

Члены этой группы имеют полный контроль над сервером и могут по мере необходимости назначать пользователям права доступа и права доступа. Учетная запись администратора также является членом по умолчанию. Когда этот сервер присоединяется к домену, группа администраторов домена автоматически добавляется в эту группу ... »

[Акцент мой]

Учитывая вышесказанное, я не понимаю

1. Каковы различия между ними?
2. Когда использовать в своем воплощении по умолчанию?
3. Как специализировать их помолвку?
4. Если администраторы домена являются членами администраторов, разве это не делает их всегда равными?

Этот вопрос является подвопросом и задан в контексте вопроса. Является ли контекст локального пользователя присоединенной к AD машины учетной записью компьютера домена или учетной записи локального компьютера?

Перед назначением контроллера домена на эту роль это простой сервер рабочей группы (автономный), имеющий локальную учетную запись администратора и локальную группу администраторов. Когда вы создаете домен, эти учетные записи не исчезают; они включены в домен как учетная запись администратора домена и встроенная группа \ администраторы домена.

Встроенная группа \ Администраторы имеет административный доступ к контроллерам домена, но ей автоматически не предоставляется административный доступ ко всем компьютерам в домене, в отличие от администраторов домена.

Группа администраторов домена и группа встроенных \ Adminstrators AD (а не локальная группа администраторов на клиентах) фактически предоставляют пользователям одинаковые права, однако есть некоторые тонкие различия:

• встроенные \ администраторы - это локальная группа домена, где администраторы домена - глобальная группа.
• Администраторы домена являются членами встроенных \ администраторов
• Администраторы домена являются членами группы локальных администраторов на каждом клиентском компьютере.
• Встроенная группа \ администраторы предназначена для обеспечения обратной совместимости с системами до AD

Это вопрос с простым и сложным ответом.

Простой ответ всегда использовать группу администраторов домена.

Сложный ответ заключается в том, что администраторы домена дают администратору все (контроллеры домена, серверы и рабочие станции) в домене. Встроенный \ Администраторы изначально предоставляет доступ только ко всем DC (это локальная группа, но реплицируется), но не к серверам или рабочим станциям. Однако доступ администратора к контроллеру домена дает возможность подняться администратору домена. Таким образом, из POV безопасности они эквивалентны.

Основная причина наличия встроенных \ администраторов заключается в том, что программы, проверяющие доступ администратора, могут проверять одно и то же место на любом компьютере.

Контроллеры домена - это ключи вашего замка, вы никогда не можете назначить администратора одному, а не другому (эффективно) или локальному серверу, а не всему домену, поэтому на них не должно быть программ / файлов, требующих локального доступа администратора.

Группа bultin / administrator создается по умолчанию при установке Windows. Эта группа имеет полный и неограниченный доступ к компьютеру. По умолчанию единственной учетной записью пользователя, которая является членом этой группы, является Администратор.

Группа администраторов домена присутствует только в домене Windows. Эта группа имеет полный и неограниченный доступ ко всему домену, способный войти на любой компьютер или сервер, который является членом домена.

Когда ПК / сервер добавляется в домен, группа администраторов домена автоматически становится членом группы встроенных / администраторов, обеспечивая таким образом доступ администратора к домену на уровне администратора.

Если вы переместили учетную запись из группы администраторов домена в группу встроенных / adminstrators, эта учетная запись сможет администрировать этот локальный компьютер, но не более того, если вы не добавили учетную запись в другие группы встроенных / adminstrators.