Grup İlkesi Sonuç özeti, DC'nin “BUILTIN \ Administrators” üyesi olduğunu söylüyor

Her ne zaman ı çalıştırmak Grup İlkesi Sonuç sihirbazı ve hedef bilgisayar, özet gösterileri gibi bir Domain Controller seçeneğini BUILTIN\Administratorsaşağıda gösterildiği gibi, Bilgisayar Yapılandırması altında "Grup İlkesi uygulandı Güvenlik Grubu Üyeliği" listesinde:

(Etki alanı, kullanıcı ve bilgisayar adı hariç)

Etki Alanı Denetleyicileri bir Yönetici üyesi olmadığından (en azından ADUC'da görebildiğim kadarıyla değil), sorum basit, neden?

Etki Alanı Denetleyicileri aslında Administrators grubunun üyeleri mi yoksa GPResults yanlış mı (ve neden)?

Evet, doğru görüyorsunuz.

Bir deney yapalım.

Sysinternals'dan psexec alın. Etki alanı denetleyicinize aktarın.

psexec -s -i cmd.exeEtki alanı denetleyicinizde çalıştırın .

Şimdi yeni komut isteminize whoamive yazın whoami /groups. Etki alanı denetleyicinizde (diğer adıyla DC01 $) SİSTEM hesabı olduğunuzu ve gerçekten de Builtin \ Administrators grubuna ait olduğunuzu göreceksiniz.

Bu yerleşik gruplar etki alanı denetleyicileri arasında paylaşılır. İşte düzgün bir şey:

Tip start \\DC02\c$Komut isteminden. Diğer etki alanı denetleyicinizde Windows Gezgini'ni başlatmalıdır, çünkü siz (DC01 $) da bu DC'nin yöneticisisiniz!

Etki alanı denetleyicilerinde, normal Windows makinelerinde olduğu gibi yerel bir SAM bulunmaz. (Evet, ancak sadece geri yükleme modunda kullanılırlar.) Hepsi AD Builtin gruplarını paylaşır ve bir Windows sisteminin, diğer herhangi bir Windows makinesindeki herhangi bir SYSTEM hesabında olduğu gibi çalışması için kendi yöneticisi olması gerektiğinden, bu da bize tüm etki alanı denetleyicilerinin birbirlerinin yöneticisi olmaları gibi ilginç bir yan etki sağlar.

Düzenleme: Gelecek nesiller için temizlik.