我正在试验一个基于Windows Server 2008的家庭域networking。我最初以为我是一个域pipe理员,我也应该拥有域上工作站的完全访问权限。 然后,我读了关于工作站上的“本地pipe理员”权利,现在看起来似乎不太清楚。
有人可以解释域pipe理员和本地pipe理员之间的关系吗?
如果我是域pipe理员,如何获得所有域连接系统的本地pipe理员权限? 我可以做一些超级pipe理员帐户吗? 如果有任何区别,我需要能够远程访问它们。
谢谢!
当您将工作站或服务器join域时,Domain Admins组将被添加到本地Administrators组,并且Domain Users组将被添加到本地Users组中。 如果您要在GPO中使用“受限制的组”function来更改这些组的组成员资格,或者手动更改这些组的成员资格,则只有这种情况才会发生。
授予每个组的用户权限的范围与其名称所暗示的一样:域pipe理员具有域中的pipe理员权限,包括域中的所有工作站和服务器(域范围)。 本地pipe理员在其所在的工作站或服务器上具有pipe理员权限,但在域或其他工作站或服务器(本地范围)中没有权限。
域pipe理员组应自动成为任何给定域成员上本地pipe理员组的成员,除非已明确删除。 非域pipe理员可以添加到任何域成员上的本地pipe理员组。
没有任何设置自动。 正如名称所示,Domain Admins设置为pipe理域,本地pipe理员pipe理本地计算机。 默认情况下,域pipe理员组的成员具有对本地计算机的pipe理权限。 为了澄清这一点,我的意思是域pipe理员组自动添加到本地pipe理组的域电脑。
或者您可以在组策略中设置受限制的组来pipe理域PC上的本地组。 使用此选项,您可以将本地pipe理员帐户添加为GPO中的受限组。 您将在限制组的成员部分中指定域或本地帐户/组。 您可以使用这种方法给PC上的另一个域组,例如“工作站支持”组,pipe理员权限。