Підсумок групової політики говорить про те, що DC є членом "BUILTIN \ Administrators"

Всякий раз , коли я біжу в майстри Результат групової політики і виберіть контролер домену в якості цільового комп'ютера, зведеним показує BUILTIN\Administratorsв списку «Security Group Membership , коли групова політика була застосована» в розділі Конфігурація комп'ютера, як показано на малюнку нижче:

(Домен, користувач та ім’я комп’ютера залишилися)

Оскільки контролери домену не входять до складу адміністраторів (принаймні, не з того, що я бачу в ADUC), моє запитання просто, чому?

Чи є контролери домену насправді членами групи адміністраторів, чи GPResults неправильно (і чому)?

Так, ви це бачите правильно.

Давайте проведемо експеримент.

Візьміть psexec від Sysinternals. Перенесіть його на свій контролер домену.

Запустіть psexec -s -i cmd.exeсвій контролер домену.

Тепер у новому командному рядку введіть whoamiі whoami /groups. Ви побачите, що тепер у вас є обліковий запис SYSTEM на контролері домену (він же DC01 $) і що ви дійсно належите до групи Builtin \ Administrators.

Ці вбудовані групи поділяються між контролерами домену. Тож ось щось акуратне:

Введіть start \\DC02\c$у своєму командному рядку. Він повинен запустити Провідник Windows на іншому контролері домену, оскільки ви (DC01 $) також адміністратор цього DC!

Контролери домену не мають локальної САМ так само, як це роблять звичайні машини Windows. (Добре, але вони використовуються лише в режимі відновлення.) Всі вони поділяють групи AD Builtin, і оскільки для роботи Windows система повинна бути адміністратором, як і будь-який обліковий запис SYSTEM на будь-якій іншій машині Windows, це дає нам цікавий побічний ефект, що всі контролери домену в кінцевому підсумку є адміністраторами один одного.

Редагувати: Прибирання для нащадків.