Administrateurs de domaine et administrateurs dans Windows AD DC [fermé]

16

Après avoir lu dans l'article Microsoft Docs par défaut la description de ces deux groupes:

Administrateurs de domaine

Les membres de ce groupe ont le contrôle total du domaine. Par défaut, ce groupe est membre du groupe Administrateurs sur tous les contrôleurs de domaine, tous les postes de travail de domaine et tous les serveurs membres du domaine au moment où ils sont joints au domaine. Par défaut, le compte Administrateur est membre de ce groupe. Étant donné que le groupe dispose d'un contrôle total sur le domaine, ajoutez des utilisateurs avec prudence. "

Administrateurs

Les membres de ce groupe ont le contrôle total de tous les contrôleurs de domaine du domaine. Par défaut, les groupes Administrateurs de domaine et Administrateurs d'entreprise sont membres du groupe Administrateurs. Le compte Administrateur est également un membre par défaut. Étant donné que ce groupe dispose d'un contrôle total sur le domaine, ajoutez les utilisateurs avec prudence. "

et que le même article déclare que les deux groupes ont exactement la même description de leurs droits d'utilisateur par défaut :

Accédez à cet ordinateur depuis le réseau; Ajustez les quotas de mémoire pour un processus; Sauvegardez les fichiers et répertoires; Contournement de la vérification de la traversée; Modifiez l'heure du système; Créez un fichier d'échange; Programmes de débogage; Activer la confiance des comptes d'ordinateur et d'utilisateur pour la délégation; Forcer l'arrêt d'un système distant; Augmentez la priorité de planification; Charger et décharger les pilotes de périphériques; Autoriser la connexion locale; Gérer le journal d'audit et de sécurité; Modifier les valeurs de l'environnement du micrologiciel; Profil d'un processus unique; Profil des performances du système; Retirez l'ordinateur de la station d'accueil; Restaurer des fichiers et des répertoires; Arrêtez le système; Prenez possession de fichiers ou d'autres objets.

De plus, l'article Microsoft Docs Groupes locaux par défaut inclut cette description du groupe Administrateurs :

Les membres de ce groupe ont le contrôle total du serveur et peuvent attribuer des droits d'utilisateur et des autorisations de contrôle d'accès aux utilisateurs si nécessaire. Le compte Administrateur est également un membre par défaut. Lorsque ce serveur est joint à un domaine, le groupe Administrateurs du domaine est automatiquement ajouté à ce groupe ... "

[c'est moi qui souligne]

Compte tenu de ce qui précède, je ne comprends pas:

  1. Quelles sont les différences entre eux?
  2. Quand utiliser lequel dans leur incarnation par défaut?
  3. Comment spécialiser leur engagement?
  4. Si les administrateurs de domaine sont membres d'administrateurs, cela ne les rend-ils pas toujours égaux?

Cette question est une sous-question et posée dans le contexte de la question. Le contexte de l'utilisateur local d'une machine jointe à AD est-il un compte de machine de domaine ou de compte de machine locale?

Gennady Vanin Геннадий Ванин
la source
vgv8 vous avez changé votre question et accepté une réponse qui n'a pas répondu correctement à votre question d'origine! Vous semblez avoir réussi cette astuce sur plusieurs de vos questions. Je vous conseille d'apprendre à utiliser correctement le débordement de pile.
JamesRyan
@JamesRyan, qu'est-ce que j'ai changé dans ma question ???? La seule chose que j'ai changé dans mon article était d'ajouter Update1.
Gennady Vanin Геннадий Ванин
Votre question initiale était de savoir en quoi ils diffèrent dans un domaine. Les mises à jour et les commentaires l'ont subtilement mais considérablement changé en ce qui concerne les différences sur une machine spécifique.
JamesRyan
2
Cette question est déroutante et a changé au cours de sa vie, elle est maintenant significativement différente de quand elle a été posée. Par conséquent, il y a un certain nombre de réponses ici, qui répondent toutes à des questions différentes. À l'avenir, si l'objectif de votre question change de manière significative, veuillez poser une nouvelle question.
Sam Cogan
2
J'ai annulé cela pour supprimer toutes les conneries étrangères qui n'ont aucune pertinence.
John Gardeniers

Réponses:

12

Avant qu'un contrôleur de domaine soit promu à ce rôle, il s'agit d'un simple serveur de groupe de travail (autonome) et possède un compte d'administrateur local et un groupe d'administrateurs local. Lorsque vous créez un domaine, ces comptes ne disparaissent pas; ils sont incorporés au domaine en tant que compte d'administrateur de domaine et groupe intégré au domaine \ Administrateurs.

Le groupe builtin \ Administrators dispose d'un accès administratif aux contrôleurs de domaine, mais ne bénéficie pas automatiquement d'un accès administratif à tous les ordinateurs du domaine, contrairement aux administrateurs de domaine.

gWaldo
la source
Bonjour, Waldo, je pensais que les administrateurs de domaine ont accès à tous les ordinateurs en les incluant dans le groupe Administrateurs local sur tous les ordinateurs dominés. Voir la citation dans mon article principal: "Par défaut, ce groupe est membre du groupe Administrateurs sur tous contrôleurs de domaine, tous les postes de travail de domaine et tous les serveurs membres du domaine au moment où ils sont joints au domaine ". Je pensais que personne n'aurait accès à mon ordinateur, dominé ou non, si je supprimais ces autorisations (ou inclusions). Vrai?
Gennady Vanin Геннадий Ванин
+1, de toute façon, cela m'a été utile en tant que mannequin n'ayant pas accès à AD / DC
Gennady Vanin Геннадий Ванин
2
Du haut de ma tête (et je n'ai pas de domaine vierge à vérifier, ni de ressources pour en créer un), l'ajout d'administrateurs de domaine au groupe Administrateurs local de chaque machine fait partie de l'objet de stratégie de groupe par défaut. Si tel est le cas, vous pouvez certainement supprimer les administrateurs de domaine de votre groupe d'administrateurs local, mais ils seront réintégrés lors de la prochaine actualisation de la stratégie (par défaut toutes les 90 + [0-30] minutes).
gWaldo
Comment c'est? J'ai compris de serverfault.com/questions/173550/… et du suivi que les groupes locaux et les utilisateurs sur les ordinateurs dominés par les clients sont exactement les mêmes que sur les ordinateurs des groupes de travail (non joints ou pré-joints au domaine) et sont inconnus du domaine ( AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan l'a relu (il n'est pas modifié): le groupe intégré \ Administrateurs a un accès administratif aux contrôleurs de domaine, mais ne bénéficie pas automatiquement d'un accès administratif à tous les ordinateurs du domaine, contrairement aux administrateurs de domaine. Contrôleurs. Pluriel.
gWaldo
10

Le groupe d'administrateurs de domaine et le groupe AD builtin \ Adminstrators (pas le groupe d'administration local sur les clients) accordent effectivement aux utilisateurs les mêmes droits, mais il existe quelques différences subtiles:

  • builtin \ administrators est un groupe local de domaine, alors que les administrateurs de domaine sont un groupe global
  • Les administrateurs de domaine sont membres des administrateurs intégrés
  • Les administrateurs de domaine sont membres du groupe d'administrateurs local sur chaque ordinateur client
  • Le groupe intégré \ administrateurs est là pour fournir une compatibilité descendante avec les systèmes pré-AD
Sam Cogan
la source
5

C'est une question avec une réponse simple et compliquée.

La réponse simple est toujours d'utiliser le groupe d'administrateurs de domaine.

La réponse compliquée est que les administrateurs de domaine donnent l'administrateur à tout (contrôleurs de domaine, serveurs et postes de travail) sur le domaine. builtin \ Administrators ne donne initialement accès qu'à tous les contrôleurs de domaine (c'est un groupe local mais est répliqué) mais pas aux serveurs ou aux postes de travail. Cependant, l' accès administrateur à un contrôleur de domaine donne la possibilité de s'élever en tant qu'administrateur de domaine. Donc, d'un point de vue de sécurité, ils sont équivalents.

La principale raison pour laquelle builtin \ administrators existe est que les programmes vérifiant l'accès administrateur peuvent vérifier le même endroit sur n'importe quelle machine.

Les contrôleurs de domaine sont les clés de votre château, vous ne pouvez jamais donner d'administrateur à l'un et pas à un autre (en fait) ou au serveur local et non à l'ensemble du domaine.

JamesRyan
la source
+1 @JamesRyan, "c'est un groupe local mais est répliqué". C'est drôle, parce que dans serverfault.com/questions/173550/…, on m'a répondu à l'unanimité que les groupes / comptes locaux ne sont pas reconnus en dehors de l'ordinateur local. Bien que dans serverfault.com/questions/174196/… j'ai remis en question cet "anonymat" car l'administrateur et les administrateurs ont des "identificateurs de sécurité bien connus", voir technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин
Est-il répliqué en tant que groupe bien connu de Windows ou en tant que groupe local, je me demande?
Gennady Vanin Геннадий Ванин
Pourquoi cela a-t-il été rejeté lorsque c'est la bonne réponse? Pas la réponse que vous vouliez?
JamesRyan
@JamesRyan, j'ai voté pour votre réponse comme étant utile. Ma note est d'environ 50 et je n'ai jamais eu dans aucun site de trilogie 100 nécessaire pour downvoting! Aussi, AFAIK, je ne peux pas downvote après upvote
Gennady Vanin Геннадий Ванин
Je parlais avec les
downvoters
4

Le groupe bultin / administrateurs est créé par défaut lorsque vous installez Windows. Ce groupe a un accès complet et illimité à l'ordinateur. Par défaut, le seul compte d'utilisateur membre de ce groupe est Administrateur.

Le groupe Administrateurs de domaine est uniquement présent dans un domaine Windows. Ce groupe dispose d'un accès complet et illimité à l'ensemble du domaine, capable de se connecter à n'importe quel PC ou serveur membre du domaine.

Lorsqu'un ordinateur / serveur est ajouté à un domaine, le groupe d'administrateurs de domaine devient automatiquement membre du groupe intégré / administrateurs, offrant ainsi aux administrateurs de domaine un accès de niveau administrateur à l'ordinateur.

Si vous avez déplacé un compte du groupe d'administrateurs de domaine vers le groupe intégré / administrateurs, ce compte pourrait administrer cet ordinateur local, mais rien d'autre, sauf si vous avez ajouté le compte à d'autres groupes intégrés / administrateurs.

aleroot
la source
3
Je pense qu'il parle du groupe d'administrateurs dans AD, pas du groupe d'administrateur local sur les PC clients
Sam Cogan
Qui est-il"? Si "il" est vgv8 alors je viens de mettre un tas de citations demandant de me les clarifier!
Gennady Vanin Геннадий Ванин
1
aleroot a raison en ce qu'il EST le groupe d'administrateurs local mais incorrect en ce qu'il se comporte différemment sur un DC
JamesRyan
@JamesRyan, +1 pour avoir essayé de m'expliquer. La réponse de aleroot vient de réitérer ce que j'ai cité dans ma question. Je ne vois pas dans quelle partie il est dit que le groupe Administrateurs local "se comporte différemment sur un DC". Dans d'autres commentaires, vous avez déclaré que ce groupe (Administrateurs locaux) est répliqué entre les contrôleurs de domaine. Comment le comportement peut-il être le même sur un serveur avant de le promouvoir sur DC?
Gennady Vanin Геннадий Ванин
@Sam Cogan, je parle de la façon dont le groupe local d'administrateurs d'un serveur / poste de travail non dominé est modifié (ou non?) Par la connexion d'un ordinateur à AD (c'est-à-dire sur la machine cliente). Dans le message parent, on m'a répondu qu'il n'y avait pas de différence entre les groupes locaux et les utilisateurs avant de rejoindre et après.
Gennady Vanin Геннадий Ванин