Administradores de dominio frente a administradores en Windows AD DC [cerrado]

16

Después de leer en el artículo de Microsoft Docs Grupos predeterminados, la descripción de estos dos grupos:

Administradores de dominio

Los miembros de este grupo tienen control total del dominio. De manera predeterminada, este grupo es miembro del grupo Administradores en todos los controladores de dominio, todas las estaciones de trabajo de dominio y todos los servidores miembros de dominio en el momento en que se unen al dominio. De forma predeterminada, la cuenta de administrador es miembro de este grupo. Debido a que el grupo tiene control total en el dominio, agregue usuarios con precaución ".

Administradores

Los miembros de este grupo tienen el control total de todos los controladores de dominio en el dominio. De forma predeterminada, los grupos Administradores de dominio y Administradores de empresa son miembros del grupo Administradores. La cuenta de administrador también es un miembro predeterminado. Debido a que este grupo tiene control total en el dominio, agregue usuarios con precaución ".

y que el mismo artículo establece que ambos grupos tienen exactamente la misma descripción de sus derechos de usuario predeterminados :

Acceda a esta computadora desde la red; Ajustar cuotas de memoria para un proceso; Copia de seguridad de archivos y directorios; Omitir la verificación transversal; Cambiar la hora del sistema; Crear un archivo de paginación; Programas de depuración; Permita que las cuentas de computadora y usuario sean confiables para la delegación; Forzar un apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir iniciar sesión localmente; Gestionar el registro de auditoría y seguridad; Modificar los valores del entorno del firmware; Perfil de proceso único; Perfil de rendimiento del sistema; Retire la computadora de la estación de acoplamiento; Restaurar archivos y directorios; Apaga el sistema; Tomar posesión de archivos u otros objetos.

Además, el artículo de Microsoft Docs Grupos locales predeterminados incluye esta descripción del grupo Administradores :

Los miembros de este grupo tienen control total del servidor y pueden asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. La cuenta de administrador también es un miembro predeterminado. Cuando este servidor se une a un dominio, el grupo Administradores de dominio se agrega automáticamente a este grupo ... "

[énfasis mío]

Dado lo anterior, no entiendo:

  1. Cuáles son las diferencias entre ellos?
  2. ¿Cuándo usar cuál en su encarnación predeterminada?
  3. ¿Cómo especializar su compromiso?
  4. Si los administradores de dominio son miembros de administradores, ¿no los hace siempre iguales?

Esta pregunta es una subpregunta y se hace en el contexto de la pregunta ¿Es el contexto del usuario local de la máquina unida a AD una cuenta de máquina de dominio o de una cuenta de máquina local?

active-directory domain-controller groups Gennady Vanin Геннадий Ванин
fuente
¡vgv8 usted cambió su pregunta y aceptó una respuesta que no respondió correctamente a su pregunta original! Parece que has hecho este truco en varias de tus preguntas. Te aconsejo que aprendas cómo usar el desbordamiento de pila correctamente.
JamesRyan
@JamesRyan, ¿qué he cambiado en mi pregunta? Lo único que cambié en mi publicación fue agregar Update1.
Gennady Vanin Геннадий Ванин
Su pregunta original era en qué se diferencian en un dominio. Las actualizaciones y los comentarios lo han cambiado sutil pero significativamente a cómo son diferentes en una máquina específica.
JamesRyan
2
Esta pregunta es confusa y ha cambiado a lo largo de su vida, ahora es significativamente diferente de cuando se hizo. En consecuencia, hay una serie de respuestas aquí, que están respondiendo preguntas diferentes. En el futuro, si el enfoque de su pregunta cambia significativamente, haga una nueva pregunta.
Sam Cogan el
2
He revertido esto para eliminar toda la basura extraña que no tiene relevancia.
John Gardeniers

Respuestas:

12

Antes de que un controlador de dominio sea promovido a ese rol, es un servidor de grupo de trabajo simple (independiente) y tiene una cuenta de administrador local y un grupo de administradores local. Cuando crea un dominio, esas cuentas no desaparecen; se incorporan al dominio como la cuenta de administrador de dominio y el grupo integrado de dominio \ Administradores.

El grupo integrado \ Administradores tiene acceso administrativo a los controladores de dominio, pero no se le otorga automáticamente acceso administrativo a todas las computadoras dentro del dominio, mientras que los administradores de dominio sí lo tienen.

gWaldo
fuente
Hola, Waldo, creí que a los administradores de dominio se les otorga acceso a todas las computadoras al incluirlas en el grupo de Administradores locales en todas las computadoras dominadas. Vea la cita en mi publicación principal: "Por defecto, este grupo es miembro del grupo de Administradores en todos controladores de dominio, todas las estaciones de trabajo de dominio y todos los servidores miembros de dominio en el momento en que se unen al dominio ". Creí que nadie tiene acceso a mi computadora, dominada o no, si elimino dichos permisos (o inclusiones). ¿Cierto?
Gennady Vanin Геннадий Ванин
+1, de todos modos, fue útil para mí porque no tengo acceso a AD / DC
Gennady Vanin Геннадий Ванин
2
Fuera de mi cabeza (y no tengo un dominio virgen para verificar, ni recursos para construir uno), la adición de Administradores de Dominio al grupo de Administradores locales de cada máquina es parte del GPO de la Política de Dominio Predeterminada. Si este es el caso, ciertamente puede eliminar Administradores de dominio de su grupo de Administradores local, pero se volverán a colocar durante la próxima actualización de la Política (Por defecto, cada 90 + [0-30] minutos).
gWaldo
¿Cómo es? Entendí de serverfault.com/questions/173550/… y seguí que los grupos locales y los usuarios en las PC con dominio del cliente son exactamente los mismos que en las computadoras de grupos de trabajo (no unidos o previamente unidos al dominio) y son desconocidos para el dominio ( AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan lo leyó nuevamente (no está editado): el grupo integrado \ Administradores tiene acceso administrativo a los controladores de dominio, pero no se le otorga automáticamente acceso administrativo a todas las computadoras dentro del dominio, mientras que los administradores de dominio sí lo tienen. Controladores. Plural.
gWaldo
10

El grupo de administradores de dominio y el grupo integrado de AD \ Adminstrators (no el grupo de administración local en clientes) efectivamente otorgan a los usuarios en ellos los mismos derechos, sin embargo, hay algunas diferencias sutiles:

  • builtin \ administradores es un grupo local de dominio, donde como administradores de dominio es un grupo global
  • Los administradores de dominio son miembros de los administradores / administradores integrados
  • Los administradores de dominio son miembros del grupo de administradores locales en cada PC cliente
  • El grupo integrado \ administradores está allí para proporcionar compatibilidad con sistemas anteriores a AD.
Sam Cogan
fuente
5

Esta es una pregunta con una respuesta simple y complicada.

La respuesta simple es siempre usar el grupo de administradores de dominio.

La respuesta complicada es que los administradores de dominio le dan administrador a todo (DC, servidores y estaciones de trabajo) en el dominio. Inicialmente, los administradores incorporados solo dan acceso a todos los DC (es un grupo local pero se replica) pero no a servidores o estaciones de trabajo. Sin embargo, el acceso de administrador a un DC ofrece la posibilidad de elevarse a administrador de dominio. Entonces, desde un punto de vista de seguridad, son equivalentes.

La razón principal por la que existe \ administradores incorporados es para que los programas que verifican el acceso del administrador puedan verificar el mismo lugar en cualquier máquina.

Los DC son las claves de su castillo, nunca puede dar administrador a uno y no a otro (efectivamente) o al servidor local y no a todo el dominio, por lo que no debe tener programas / archivos que requieren acceso de administrador local solo en ellos.

JamesRyan
fuente
+1 @JamesRyan, "es un grupo local pero se replica". Divertido, porque en serverfault.com/questions/173550/… me respondieron por unanimidad que los grupos / cuentas locales no se reconocen fuera de la computadora local. Aunque en serverfault.com/questions/174196/… cuestioné este "anonimato" ya que el administrador y los administradores tienen "identificadores de seguridad conocidos", consulte technet.microsoft.com/en-us/library/cc978401.aspx
Gennady Vanin Геннадий Ванин
Me pregunto si se replica como un grupo conocido de Windows o como un grupo local.
Gennady Vanin Геннадий Ванин
¿Por qué se rechazó esto cuando es la respuesta correcta? ¿No es la respuesta que querías?
JamesRyan
@JamesRyan, voté por tu respuesta como útil. ¡Mi calificación es de alrededor de 50 y nunca he tenido en ningún sitio de trilogía 100 necesarios para votar a favor! Además, AFAIK, no puedo
votar a favor
Estaba hablando con los
votantes negativos
4

El grupo bultin / administradores se crea de manera predeterminada cuando instala Windows. Este grupo tiene acceso completo y sin restricciones a la computadora. De forma predeterminada, la única cuenta de usuario que es miembro de este grupo es Administrador.

El grupo de administradores de dominio solo está presente en un dominio de Windows. Este grupo tiene acceso completo y sin restricciones a todo el dominio, capaz de iniciar sesión en cualquier PC o servidor que sea miembro del dominio.

Cuando se agrega una PC / servidor a un dominio, el grupo de administradores de dominio se convierte automáticamente en un miembro del grupo integrado / administradores, proporcionando así a los administradores de dominio acceso de nivel de administrador a la computadora.

Si movió una cuenta del grupo de administradores de dominio al grupo integrado / administradores, esa cuenta podría administrar esa computadora local, pero nada más, a menos que haya agregado la cuenta a otros grupos integrados / administradores.

aleroot
fuente
3
Creo que está hablando del grupo de administradores en AD, no del grupo de administración local en las PC cliente
Sam Cogan
Quién es él"? Si "él" es vgv8, ¡acabo de poner un montón de citas pidiéndome que me las aclare!
Gennady Vanin Геннадий Ванин
1
aleroot tiene razón en que ES el grupo de administración local pero incorrecto en que se comporta de manera diferente en un DC
JamesRyan
@JamesRyan, +1 por tratar de explicarme. La respuesta de aleroot simplemente reiteró lo que cité en mi pregunta. No veo en qué parte dice que el grupo de administradores locales "se comporta de manera diferente en un DC". En otro comentario, indicó que este grupo (Administradores locales) se replica entre DC. ¿Cómo puede ser el mismo comportamiento en un servidor antes de promocionarlo a DC?
Gennady Vanin Геннадий Ванин
@ Sam Cogan, estoy hablando de cómo el grupo de Administradores locales de un servidor / estación de trabajo no dominado se cambia (¿o no?) Mediante la computadora que se une a AD (es decir, en la máquina del cliente). En la publicación principal me respondieron que no hay diferencia en los grupos locales y los usuarios antes y después de unirse.
Gennady Vanin Геннадий Ванин