Адміністратори домену проти адміністраторів у Windows AD DC [закрито]

Прочитавши в статті "Документи Microsoft" за замовчуванням, групуйте опис цих двох груп:

Адміністратори домену

Члени цієї групи мають повний контроль над доменом. За замовчуванням ця група є членом групи адміністраторів на всіх контролерах домену, на всіх робочих станціях домену та всіх серверах-членах домену під час їх приєднання до домену. За замовчуванням обліковий запис адміністратора є членом цієї групи. Оскільки група має повний контроль над доменом, додайте користувачів з обережністю ".

Адміністратори

Члени цієї групи мають повний контроль над усіма контролерами домену. За замовчуванням групи домену та адміністратори підприємств є членами групи адміністраторів. Обліковий запис адміністратора також є членом за замовчуванням. Оскільки ця група має повний контроль над доменом, додайте користувачів з обережністю ".

і що в одній статті зазначено, що обидві групи мають точно однаковий опис своїх прав користувача за замовчуванням :

Доступ до цього комп’ютера з мережі; Відрегулювати квоти пам'яті для процесу; Резервне копіювання файлів і каталогів; Обхідна прохідна перевірка; Зміна системного часу; Створіть файл сторінки; Програми налагодження; Увімкнути довіри на делегування облікових записів комп'ютерів та користувачів; Змусити відключити віддалену систему; Збільшення пріоритету планування; Завантажуйте та вивантажуйте драйвери пристроїв; Дозволити локально входити в систему; Управління аудитом та журналом безпеки; Змінити значення середовища мікропрограмного забезпечення; Профільний єдиний процес; Продуктивність профільної системи; Видаліть комп’ютер із док-станції; Відновлення файлів і каталогів; Вимкніть систему; Отримайте право власності на файли чи інші об’єкти.

Далі стаття Microsoft Docs у локальних групах за замовчуванням включає цей опис групи адміністраторів :

Члени цієї групи мають повний контроль над сервером і можуть призначати користувачеві права та дозволи доступу до користувачів за необхідності. Обліковий запис адміністратора також є членом за замовчуванням. Коли цей сервер приєднаний до домену, група адміністраторів домену автоматично додається до цієї групи ... "

[акцент мій]

З огляду на сказане, я не розумію:

1. Які відмінності між ними?
2. Коли використовувати те, що у втіленні за замовчуванням?
3. Як спеціалізувати свою діяльність?
4. Якщо адміністратори домену є членами адміністраторів, чи це не робить їх завжди рівними?

Це питання є підзапитом і задається в контексті запитання Чи контекст локального користувача пристрою, що приєднався до AD, це обліковий запис доменної машини або обліковий запис локальної машини?

Перед тим, як Контролер домену буде переведений на цю роль, це простий сервер робочої групи (автономний) і має локальний обліковий запис адміністратора та локальну групу адміністраторів. Коли ви створюєте домен, ці облікові записи не зникають; вони включені до домену як обліковий запис адміністратора домену та вбудований домен \ група адміністраторів.

Група вбудованих \ адміністраторів має адміністративний доступ до контролерів домену, однак автоматично не надається адміністративний доступ до всіх комп'ютерів у домені, тоді як адміністратори домену є.

Група адміністраторів домену та група AD, побудована \ Адміністратори (не локальна група адміністратора для клієнтів) фактично надають користувачам однакові права, проте є деякі тонкі відмінності:

• вбудовані \ адміністратори - локальна група домену, де адміністратори домену є глобальною групою
• Адміністратори домену - це член вбудованих \ адміністраторів
• Адміністратори домену є членом локальної групи адміністраторів на кожному клієнтському ПК
• Група вбудованих \ адміністраторів є для забезпечення зворотної сумісності із системами до AD

Це питання з простою і складною відповіддю.

Проста відповідь - завжди використовувати групу адміністраторів домену.

Складна відповідь полягає в тому, що цей адміністратор домену дає адміністратору все (DC, сервери та робочі станції) в домені. вбудовані \ Адміністратори спочатку надають доступ лише до всіх постійних клієнтів (це локальна група, але вони реплікуються), але не до серверів чи робочих станцій. Однак доступ адміністратора до постійного струму дає можливість піднятися до адміністратора домену. Таким чином, з POV безпеки вони рівноцінні.

Основна причина вбудованих \ адміністраторів існує в тому, що програми, що перевіряють доступ адміністратора, можуть перевіряти те саме місце на будь-якій машині.

DC - це ключі до вашого замку, ви ніколи не можете давати адміністратора одному та іншому (ефективно) або локальному серверу, а не всьому домену, тому не повинно бути програм / файлів, які вимагають доступу місцевого адміністратора лише до них.

Група bultin / Administrators створюється за замовчуванням при установці Windows. Ця група має повний і необмежений доступ до комп'ютера. За замовчуванням єдиним обліковим записом користувача, який є членом цієї групи, є Адміністратор.

Група Адміністраторів домену присутня лише у домені Windows. Ця група має повний і необмежений доступ до всього домену, здатний увійти на будь-який ПК або сервер, який є членом домену.

Коли ПК / сервер додається до домену, група адміністраторів домену автоматично стає членом вбудованої групи / адміністраторів, забезпечуючи таким чином доступ адміністраторів домену адміністратора до комп'ютера.

Якщо ви перемістили обліковий запис із групи адміністраторів домену до групи вбудованих / адміністраторів, цей обліковий запис зможе адмініструвати цей локальний комп'ютер, але нічого іншого, якщо ви не додали обліковий запис до інших груп вбудованих / адміністраторів.