web-dev-qa-db-fra.com

Administrateurs de domaine et administrateurs dans Windows AD DC

Après avoir lu dans l'article de Microsoft Docs Groupes par défaut la description de ces deux groupes:

Administrateurs de domaine

Les membres de ce groupe ont le contrôle total du domaine. Par défaut, ce groupe est membre du groupe Administrateurs sur tous les contrôleurs de domaine, tous les postes de travail de domaine et tous les serveurs membres du domaine au moment où ils sont joints au domaine. Par défaut, le compte Administrateur est membre de ce groupe. Étant donné que le groupe dispose d'un contrôle total sur le domaine, ajoutez les utilisateurs avec prudence. "

Administrateurs

Les membres de ce groupe ont le contrôle total de tous les contrôleurs de domaine du domaine. Par défaut, les groupes Administrateurs de domaine et Administrateurs d'entreprise sont membres du groupe Administrateurs. Le compte Administrateur est également un membre par défaut. Étant donné que ce groupe dispose d'un contrôle total sur le domaine, ajoutez les utilisateurs avec prudence. "

et que le même article déclare que les deux groupes ont exactement la même description de leurs Droits d'utilisateur par défaut:

Accédez à cet ordinateur depuis le réseau; Ajustez les quotas de mémoire pour un processus; Sauvegardez les fichiers et les répertoires; Contournement de la vérification de la traversée; Modifiez l'heure du système; Créez un fichier d'échange; Programmes de débogage; Activer la confiance des comptes d'ordinateur et d'utilisateur pour la délégation; Forcer l'arrêt d'un système distant; Augmentez la priorité de planification; Charger et décharger les pilotes de périphériques; Autoriser la connexion locale; Gérer le journal d'audit et de sécurité; Modifier les valeurs de l'environnement du micrologiciel; Profil d'un processus unique; Profil des performances du système; Retirez l'ordinateur de la station d'accueil; Restaurer des fichiers et des répertoires; Arrêtez le système; Prenez possession de fichiers ou d'autres objets.

De plus, l'article Microsoft Docs Groupes locaux par défaut inclut cette description du groupe Administrateurs:

Les membres de ce groupe ont le contrôle total du serveur et peuvent attribuer des droits d'utilisateur et des autorisations de contrôle d'accès aux utilisateurs si nécessaire. Le compte Administrateur est également un membre par défaut. Lorsque ce serveur est joint à un domaine, le groupe Administrateurs du domaine est automatiquement ajouté à ce groupe ... "

[c'est moi qui souligne]

Compte tenu de ce qui précède, je ne comprends pas:

  1. Quelles sont les différences entre eux?
  2. Quand utiliser lequel dans leur incarnation par défaut?
  3. Comment spécialiser leur engagement?
  4. Si les administrateurs de domaine sont membres d'administrateurs, cela ne les rend-ils pas toujours égaux?

Cette question est une sous-question de et posée dans le contexte de la question Le contexte de l'utilisateur local d'une machine jointe à AD est-il un compte de machine de domaine ou de compte de machine locale? =

Avant qu'un contrôleur de domaine soit promu à ce rôle, il s'agit d'un simple serveur de groupe de travail (autonome) et possède un compte d'administrateur local et un groupe d'administrateurs local. Lorsque vous créez un domaine, ces comptes ne disparaissent pas; ils sont incorporés au domaine en tant que compte d'administrateur de domaine et groupe intégré au domaine\Administrateurs.

Le groupe builtin\Administrators dispose d'un accès administratif aux contrôleurs de domaine, mais ne bénéficie pas automatiquement d'un accès administratif à tous les ordinateurs du domaine, contrairement aux administrateurs de domaine.

14
gWaldo

Le groupe d'administrateurs de domaine et le groupe AD builtin\Adminstrators (pas le groupe d'administration local sur les clients) accordent effectivement aux utilisateurs les mêmes droits, mais il existe quelques différences subtiles:

  • builtin\administrators est un groupe local de domaine, alors que les administrateurs de domaine sont un groupe global
  • Les administrateurs de domaine sont membres des administrateurs intégrés
  • Les administrateurs de domaine sont membres du groupe d'administrateurs local sur chaque ordinateur client
  • Le groupe intégré\administrateurs est là pour fournir une compatibilité descendante avec les systèmes pré-AD
10
Sam Cogan

C'est une question avec une réponse simple et compliquée.

La réponse simple est toujours d'utiliser le groupe d'administrateurs de domaine.

La réponse compliquée est que les administrateurs de domaine donnent l'administrateur à tout (contrôleurs de domaine, serveurs et postes de travail) sur le domaine. builtin\Administrators ne donne initialement accès qu'aux tous DC (c'est un groupe local mais est répliqué) mais pas aux serveurs ou aux postes de travail. Cependant l'accès administrateur à un DC donne la possibilité de s'élever à l'administrateur du domaine. Donc, à partir d'un pov de sécurité, ils sont équivalents.

La raison principale pour laquelle builtin\administrators existe est que les programmes vérifiant l'accès administrateur peuvent vérifier le même endroit sur n'importe quelle machine.

Les contrôleurs de domaine sont les clés de votre château, vous ne pouvez jamais donner d'administrateur à l'un et pas à un autre (en fait) ou au serveur local et non à l'ensemble du domaine.

5
JamesRyan

Le groupe bultin/administrateurs est créé par défaut lorsque vous installez Windows. Ce groupe a un accès complet et illimité à l'ordinateur. Par défaut, le seul compte d'utilisateur membre de ce groupe est Administrateur.

Le groupe Administrateurs de domaine est uniquement présent dans un domaine Windows. Ce groupe dispose d'un accès complet et illimité à l'ensemble du domaine, capable de se connecter à n'importe quel PC ou serveur membre du domaine.

Lorsqu'un ordinateur/serveur est ajouté à un domaine, le groupe d'administrateurs de domaine devient automatiquement membre du groupe intégré/administrateurs, offrant ainsi aux administrateurs de domaine un accès de niveau administrateur à l'ordinateur.

Si vous avez déplacé un compte du groupe d'administrateurs de domaine vers le groupe intégré/administrateurs, ce compte pourrait administrer cet ordinateur local, mais rien d'autre, sauf si vous avez ajouté le compte à d'autres groupes intégrés/administrateurs.

4
aleroot