El resumen del resultado de la directiva de grupo dice que DC es miembro de "BUILTIN \ Administrators"

14

Cada vez que ejecuto el asistente de resultados de la directiva de grupo y selecciono un controlador de dominio como computadora de destino, el resumen se muestra BUILTIN\Administratorsen la lista de "Membresía de grupo de seguridad cuando se aplicó la directiva de grupo" en Configuración de la computadora, como se ilustra a continuación:

Resumen de resultados de la política de grupo (Dominio, usuario y nombre de computadora omitidos)

Dado que los controladores de dominio no son miembros de los administradores (al menos no por lo que puedo ver en ADUC), mi pregunta es simplemente, ¿por qué?

¿Los controladores de dominio son realmente miembros del grupo de administradores o GPResults es incorrecto (y por qué)?

Mathias R. Jessen
fuente

Respuestas:

11

Sí, lo estás viendo correctamente.

Hagamos un experimento.

Agarra psexec de Sysinternals. Transfiéralo a su controlador de dominio.

Ejecutar psexec -s -i cmd.exeen su controlador de dominio.

Ahora en su nuevo símbolo del sistema, escriba whoamiy whoami /groups. Verá que ahora es la cuenta del SISTEMA en su controlador de dominio (también conocido como DC01 $) y que realmente pertenece al grupo Builtin \ Administrators.

Esos grupos integrados se comparten entre los controladores de dominio. Así que aquí hay algo bueno:

Escriba start \\DC02\c$desde su símbolo del sistema. ¡Debería iniciar Windows Explorer en su otro controlador de dominio porque usted (DC01 $) también es administrador de ese DC también!

Los controladores de dominio no tienen un SAM local de la misma manera que las máquinas normales de Windows. (Bueno, lo hacen, pero solo se usa en el modo de restauración). Todos comparten los grupos AD Builtin, y dado que un sistema Windows debe ser un administrador de sí mismo para funcionar, al igual que cualquier cuenta SYSTEM en cualquier otra máquina Windows, eso nos da el interesante efecto secundario de que todos los controladores de dominio terminan siendo administradores unos de otros.

Editar: Limpieza para la posteridad.

Ryan Ries
fuente
Solo estalló psexec, y efectivamente. Eso tiene sentido :-) Gran respuesta, gracias
Mathias R. Jessen
Olvidé aclarar: los DC no tienen un SAM local. (bueno, lo hacen, pero solo se usa en modo de restauración). Todos los DC comparten el mismo SAM, que son esos grupos integrados que ves en ADUC.
Ryan Ries
Sí, me doy cuenta de eso (es por eso que tengo sentido) :)
Mathias R. Jessen
2
No sabía que SYSTEM era (implícitamente) un miembro de Administradores ... siempre aprendía algo nuevo :-)
Massimo