Сводка результатов групповой политики говорит, что DC является членом «BUILTIN \ Администраторы»

Всякий раз , когда я бегу в мастера Результат групповой политики и выберите контроллер домена в качестве целевого компьютера, сводным показывает BUILTIN\Administratorsв списке «Security Group Membership , когда групповая политика была применена» в разделе Конфигурация компьютера, как показано на рисунке ниже:

(Домен, имя пользователя и имя компьютера не указаны)

Поскольку контроллеры домена не являются членами администраторов (по крайней мере, из того, что я вижу в ADUC), мой вопрос прост: почему?

Являются ли контроллеры домена членами группы «Администраторы» или GPResults неверен (и почему)?

Да, вы видите это правильно.

Давайте сделаем эксперимент.

Хватай psexec от Sysinternals. Перенесите его на свой контроллер домена.

Запустите psexec -s -i cmd.exeна своем контроллере домена.

Теперь в новой командной строке введите whoamiи whoami /groups. Вы увидите, что теперь вы являетесь системной учетной записью на контроллере домена (он же DC01 $) и действительно входите в группу Builtin \ Administrators.

Эти встроенные группы являются общими для контроллеров домена. Итак, вот что-то изящное:

Введите start \\DC02\c$из командной строки. Он должен запустить Windows Explorer на вашем другом контроллере домена, потому что вы (DC01 $) также являетесь администратором этого DC!

Контроллеры домена не имеют локальный SAM так же, как обычные машины Windows. (Ну, они делают, но это используется только в режиме восстановления.) Все они совместно используют группы AD Builtin, и поскольку система Windows должна быть администратором сама по себе, чтобы функционировать, как любая учетная запись SYSTEM на любом другом компьютере Windows, это дает нам интересный побочный эффект, что все контроллеры домена становятся администраторами друг друга.

Изменить: Очистка для потомков.