Windows AD DC'deki Etki Alanı Yöneticileri ve Yöneticiler [kapalı]

Microsoft Docs makalesinde Varsayılan gruplar okuduktan sonra bu iki grubun açıklaması:

Alan Adı Yöneticileri

Bu grubun üyeleri etki alanı üzerinde tam denetime sahiptir. Varsayılan olarak, bu grup etki alanına katıldıkları sırada tüm etki alanı denetleyicilerinde, tüm etki alanı iş istasyonlarında ve tüm etki alanı üyesi sunucularında Administrators grubunun bir üyesidir. Varsayılan olarak, Yönetici hesabı bu grubun bir üyesidir. Grup etki alanında tam denetime sahip olduğundan kullanıcıları dikkatli ekleyin. "

Yöneticiler

Bu grubun üyeleri, etki alanındaki tüm etki alanı denetleyicileri üzerinde tam denetime sahiptir. Varsayılan olarak, Domain Admins ve Enterprise Admins grupları Administrators grubunun üyeleridir. Yönetici hesabı da varsayılan bir üyedir. Bu grup etki alanında tam denetime sahip olduğundan kullanıcıları dikkatli ekleyin. "

ve aynı makalede her iki grubun da Varsayılan kullanıcı haklarının tam olarak aynı açıklaması olduğu belirtilmektedir :

Bu bilgisayara ağdan erişin; Bir işlem için bellek kotalarını ayarlama; Dosyaları ve dizinleri yedekleyin; Geçiş denetimini atla; Sistem saatini değiştirin; Bir sayfa dosyası oluşturun; Hata ayıklama programları; Yetkilendirme için bilgisayar ve kullanıcı hesaplarına güvenilmesini sağlama; Uzak bir sistemden kapanmaya zorlama; Programlama önceliğini artırın; Aygıt sürücülerini yükleme ve boşaltma; Yerel olarak oturum açmaya izin ver; Denetim ve güvenlik günlüğünü yönetme; Ürün yazılımı ortam değerlerini değiştirme; Profil tek bir işlem; Profil sistemi performansı; Bilgisayarı yerleştirme istasyonundan çıkarın; Dosyaları ve dizinleri geri yükleme; Sistemi kapatın; Dosyaların veya diğer nesnelerin sahipliğini alın.

Ayrıca, Microsoft Docs makalesinde Varsayılan yerel gruplar Administrators grubunun bu açıklamasını içerir :

Bu grubun üyeleri sunucunun tam denetimine sahiptir ve kullanıcılara gerektiği gibi kullanıcı hakları ve erişim denetimi izinleri atayabilir. Yönetici hesabı da varsayılan bir üyedir. Bu sunucu bir etki alanına katıldığında, Domain Admins grubu otomatik olarak bu gruba eklenir ... "

[benimkini vurgula]

Yukarıdakiler göz önüne alındığında, anlamıyorum:

1. Aralarındaki farklar nelerdir?
2. Hangi varsayılan enkarnasyonlarında ne zaman kullanılır?
3. Katılımlarını nasıl uzmanlaştırabiliriz?
4. Domain Admins, Administrators üyesiyse, onları her zaman eşit yapmaz mı?

Bu soru alt sorudur ve soru bağlamında sorulur . AD'ye katılmış makinenin yerel kullanıcısı bir etki alanı makine hesabı mı yoksa yerel makine hesabı mı?

Bir Etki Alanı Denetleyicisi bu role yükseltilmeden önce, basit bir çalışma grubu (bağımsız) sunucusudur ve bir yerel Yönetici hesabı ve bir yerel Administrators grubu vardır. Bir alan oluşturduğunuzda, bu hesaplar kaybolmaz; etki alanına Yönetici hesabı ve etki alanı yerleşik \ Administrators grubu olarak eklenirler.

Yerleşik \ Administrators grubunun Etki Alanı Denetleyicilerine Yönetici erişimi vardır, ancak Etki Alanı Yöneticileri ise etki alanındaki tüm bilgisayarlara otomatik olarak yönetici erişimi vermez.

Etki alanı yöneticileri grubu ve AD builtin \ Adminstrators grubu (istemcilerdeki yerel yönetici grubu değil), kullanıcılara etkili bir şekilde aynı hakları verir, ancak bazı küçük farklılıklar vardır:

• builtin \ administrators, etki alanı yöneticileri genel bir grup olduğu bir etki alanı yerel grubudur.
• Alan yöneticileri yerleşik \ yöneticilerin bir üyesidir
• Etki alanı yöneticileri, her istemci bilgisayardaki yerel yöneticiler grubunun bir üyesidir
• Yerleşik \ yöneticiler grubu, AD öncesi sistemlerle geriye dönük uyumluluk sağlamak için oradadır

Bu basit ve karmaşık bir cevabı olan bir sorudur.

Basit yanıt her zaman etki alanı yöneticileri grubunu kullanmaktır.

Karmaşık yanıt, etki alanı yöneticilerinin etki alanındaki her şeye (DC'ler, sunucular ve iş istasyonları) yönetici vermesidir. builtin \ Administrators başlangıçta yalnızca tüm DC'lere erişim sağlar (yerel bir gruptur ancak çoğaltılır), ancak sunuculara veya iş istasyonlarına erişmez. Ancak bir DC'ye yönetici erişimi, kendilerini etki alanı yöneticisine yükseltme olanağı sağlar. Yani bir güvenlik noktasından eşdeğerler.

Built \ yöneticilerin var olmasının temel nedeni, yönetici erişimini kontrol eden programların herhangi bir makinede aynı yeri kontrol edebilmesidir.

DC'ler kalenizin anahtarlarıdır, asla bir başkasına (etkili bir şekilde) veya yerel sunucuya yönetici veremezsiniz ve tüm etki alanına değil, bu yüzden yalnızca üzerlerinde yerel yönetici erişimi gerektiren programlara / dosyalara sahip olmamalıdır.

Windows'u yüklediğinizde bultin / administrators grubu varsayılan olarak oluşturulur. Bu grubun bilgisayara tam ve sınırsız erişimi vardır. Varsayılan olarak, bu grubun üyesi olan tek kullanıcı hesabı Yönetici'dir.

Etki Alanı Yöneticileri grubu yalnızca bir Windows etki alanında bulunur. Bu grup, etki alanının üyesi olan herhangi bir bilgisayar veya sunucuda oturum açabilen tüm etki alanına tam ve sınırsız erişime sahiptir.

Bir etki alanına bir pc / sunucu eklendiğinde, etki alanı yöneticileri grubu otomatik olarak yerleşik / yöneticiler grubunun bir üyesi olur ve böylece etki alanı yöneticilerine bilgisayara yönetici düzeyinde erişim sağlar.

Bir hesabı etki alanı yöneticileri grubundan yerleşik / yönetici grubuna taşıdıysanız, hesabı başka yerleşik / yönetici gruplarına eklemediyseniz, bu hesap o yerel bilgisayarı yönetebilir, ancak başka bir şey yapamaz.