Admin Domain vs. Administrator di Windows AD DC [ditutup]

Setelah membaca di artikel Microsoft Documents Default mengelompokkan deskripsi dari dua grup ini:

Admin Domain

Anggota grup ini memiliki kontrol penuh terhadap domain. Secara default, grup ini adalah anggota grup Administrators di semua pengontrol domain, semua workstation domain, dan semua server anggota domain pada saat mereka bergabung dengan domain. Secara default, akun Administrator adalah anggota grup ini. Karena grup memiliki kontrol penuh dalam domain, tambahkan pengguna dengan hati-hati. "

Administrator

Anggota grup ini memiliki kontrol penuh dari semua pengontrol domain di domain. Secara default, grup Admin Domain dan Admin Perusahaan adalah anggota grup Administrator. Akun Administrator juga merupakan anggota default. Karena grup ini memiliki kontrol penuh dalam domain, tambahkan pengguna dengan hati-hati. "

dan bahwa artikel yang sama menyatakan kedua grup memiliki deskripsi yang sama persis tentang hak pengguna Default mereka :

Akses komputer ini dari jaringan; Sesuaikan kuota memori untuk suatu proses; Cadangkan file dan direktori; Lewati pemeriksaan traverse; Ubah waktu sistem; Buat pagefile; Program debugging; Memungkinkan akun komputer dan pengguna dipercaya untuk didelegasikan; Memaksa shutdown dari sistem jarak jauh; Meningkatkan prioritas penjadwalan; Muat dan keluarkan driver perangkat; Izinkan masuk secara lokal; Kelola log audit dan keamanan; Ubah nilai lingkungan firmware; Profil proses tunggal; Kinerja sistem profil; Lepaskan komputer dari stasiun dok; Pulihkan file dan direktori; Matikan sistem; Ambil kepemilikan file atau objek lain.

Lebih lanjut, artikel Microsoft Documents Grup lokal default menyertakan deskripsi tentang grup Administrator ini:

Anggota grup ini memiliki kontrol penuh terhadap server dan dapat memberikan hak pengguna dan izin kontrol akses kepada pengguna sebagaimana diperlukan. Akun Administrator juga merupakan anggota default. Ketika server ini bergabung ke suatu domain, grup Admin Domain secara otomatis ditambahkan ke grup ini ... "

[penekanan milikku]

Mengingat hal di atas, saya tidak mengerti:

1. Apa perbedaan di antara mereka?
2. Kapan harus menggunakan inkarnasi default mereka?
3. Bagaimana cara mengkhususkan pertunangan mereka?
4. Jika Admin Domain adalah anggota Administrator, bukankah itu membuat mereka selalu sama?

Pertanyaan ini adalah sub-pertanyaan dan ditanyakan dalam konteks pertanyaan. Apakah konteks pengguna lokal mesin yang bergabung dengan AD adalah akun mesin domain atau akun mesin lokal?

Sebelum Pengontrol Domain dipromosikan ke peran itu, itu adalah server workgroup sederhana (mandiri) dan memiliki akun Administrator lokal dan grup Administrator lokal. Saat Anda membuat domain, akun tersebut tidak hilang; mereka dimasukkan ke dalam domain sebagai akun Administrator domain dan domain yang dibangun di dalam grup \ Administrator.

Grup builtin \ Administrator memiliki akses Administratif ke Pengontrol Domain, tetapi tidak secara otomatis diberikan akses administratif ke semua komputer dalam domain, sedangkan Admin Domain adalah.

Grup admin domain, dan grup AD builtin \ Adminstrators (bukan grup admin lokal pada klien) secara efektif memberikan hak yang sama kepada pengguna, namun ada beberapa perbedaan halus:

• builtin \ administrator adalah grup lokal domain, di mana admin domain adalah grup global
• Admin domain adalah anggota administrator builtin \
• Admin domain adalah anggota grup admin lokal di setiap komputer klien
• Grup builtin \ administrator ada untuk memberikan kompatibilitas dengan sistem pra-AD

Ini adalah pertanyaan dengan jawaban yang sederhana dan rumit.

Jawaban sederhana selalu menggunakan grup admin domain.

Jawaban rumit adalah bahwa admin domain memberikan admin untuk semuanya (DC, server dan workstation) di domain. builtin \ Administrator awalnya hanya memberikan akses ke semua DC (ini adalah grup lokal tetapi direplikasi) tetapi tidak server atau workstation. Namun akses admin ke DC memberikan kemampuan untuk meningkatkan diri mereka ke admin domain. Jadi dari pov keamanan mereka setara.

Alasan utama builtin \ administrator ada adalah agar program yang memeriksa akses admin dapat memeriksa tempat yang sama pada mesin apa pun.

DC adalah kunci untuk kastil Anda, Anda tidak pernah dapat memberikan admin kepada satu dan bukan yang lain (secara efektif) atau ke server lokal dan bukan keseluruhan domain sehingga tidak boleh memiliki program / file yang memerlukan akses admin lokal hanya pada mereka.

Grup bultin / administrator dibuat secara default ketika Anda menginstal Windows. Grup ini memiliki akses lengkap dan tidak terbatas ke komputer. Secara default, satu-satunya akun pengguna yang merupakan anggota grup ini adalah Administrator.

Grup Administrator Domain hanya ada dalam domain Windows. Grup ini memiliki akses lengkap dan tidak terbatas ke seluruh domain, dapat masuk ke pc atau server apa pun yang merupakan anggota domain.

Ketika pc / server ditambahkan ke domain, grup admin domain secara otomatis menjadi anggota grup builtin / administrator, sehingga memberikan akses tingkat administrator administrator domain ke komputer.

Jika Anda memindahkan akun dari grup admin domain ke grup builtin / adminstrator, akun itu akan dapat mengelola komputer lokal tersebut tetapi tidak ada yang lain, kecuali jika Anda menambahkan akun ke grup builtin / adminstrator lainnya.