Le résumé des résultats de la stratégie de groupe indique que DC est membre de «BUILTIN \ Administrators»

14

Chaque fois que j'exécute l' assistant de résultat de stratégie de groupe et que je sélectionne un contrôleur de domaine comme ordinateur cible, le résumé s'affiche BUILTIN\Administratorsdans la liste «Appartenance au groupe de sécurité lorsque la stratégie de groupe a été appliquée» sous Configuration ordinateur, comme illustré ci-dessous:

Résumé des résultats de la stratégie de groupe (Nom de domaine, d'utilisateur et d'ordinateur omis)

Étant donné que les contrôleurs de domaine ne sont pas membres des administrateurs (du moins pas d'après ce que je peux voir dans ADUC), ma question est simplement pourquoi?

Les contrôleurs de domaine sont-ils réellement membres du groupe Administrateurs, ou les résultats GPR sont-ils erronés (et pourquoi)?

windows-server-2008 active-directory group-policy domain-controller Mathias R. Jessen
la source

Réponses:

11

Oui, vous voyez cela correctement.

Faisons une expérience.

Prenez psexec de Sysinternals. Transférez-le sur votre contrôleur de domaine.

Exécutez psexec -s -i cmd.exesur votre contrôleur de domaine.

Maintenant, dans votre nouvelle invite de commande, tapez whoamiet whoami /groups. Vous verrez que vous êtes maintenant le compte SYSTEM sur votre contrôleur de domaine (aka DC01 $) et que vous appartenez bien au groupe Builtin \ Administrators.

Ces groupes intégrés sont partagés entre les contrôleurs de domaine. Voici donc quelque chose de bien:

Tapez à start \\DC02\c$partir de votre invite de commande. Il devrait lancer l'Explorateur Windows sur votre autre contrôleur de domaine car vous (DC01 $) êtes également administrateur de ce contrôleur de domaine!

Les contrôleurs de domaine n'ont pas de SAM local de la même manière que les machines Windows normales. (Eh bien, ils le font, mais il n'est utilisé qu'en mode de restauration.) Ils partagent tous les groupes AD Builtin, et puisqu'un système Windows doit être un administrateur de lui-même pour fonctionner, comme n'importe quel compte SYSTEM sur n'importe quelle autre machine Windows, cela nous donne l'effet secondaire intéressant que tous les contrôleurs de domaine finissent par être administrateurs les uns des autres.

Edit: Nettoyage pour la postérité.

Ryan Ries
la source
Juste éclaté psexec, et bien sûr. Cela a du sens :-) Excellente réponse, merci
Mathias R. Jessen
Oublié de clarifier - les contrôleurs de domaine n'ont pas de SAM local. (bien qu'ils le fassent, mais il n'est utilisé qu'en mode de restauration.) Tous les contrôleurs de domaine partagent le même SAM, qui sont les groupes intégrés que vous voyez dans ADUC.
Ryan Ries
Ouais, je me rends compte que (c'est un peu pourquoi j'ai du sens) :)
Mathias R. Jessen
2
Je ne savais pas que SYSTEM était (implicitement) un membre des administrateurs ... apprenant toujours quelque chose de nouveau :-)
Massimo