阅读[1]:
“域pipe理员
这个组的成员完全控制域。 默认情况下,该组是所有域控制器,所有域工作站和所有域成员服务器在join域时的pipe理员组的成员。 默认情况下,pipe理员帐户是该组的成员。 由于该网域对该网域拥有完全的控制权,请谨慎添加用户。“
“pipe理员
该组的成员完全控制域中的所有域控制器。 默认情况下,域pipe理员和企业pipe理员组是Administrators组的成员。 pipe理员帐户也是默认成员。 因为这个群组在这个域中有完全的控制权,请谨慎添加用户。“
并且pipe理员和域pipe理员在他们的“默认用户权限”中具有完全相同的描述 :
我无法理解:
1)
他们之间有什么区别?
2)
什么时候使用默认的化身?
3)
如何专注于他们的订婚?
4)
如果域pipe理员是pipe理员的成员,是不是让他们总是平等的?
—更新1 :
“默认本地组”[2]告诉:
“pipe理员
该组的成员完全可以控制服务器,并根据需要为用户分配用户权限和访问控制权限。 pipe理员帐户也是默认成员。 当此服务器join到域中时,域pipe理员组将自动添加到该组中…“
— Update2:
这个问题是子问题,在其父问题的上下文中(可以看出,没有/之前的Update2,在链接部分):
[1]
默认组
http://technet.microsoft.com/en-us/library/cc756898(WS.10).aspx
[2]
默认本地组
http://technet.microsoft.com/en-us/library/cc785098(WS.10).aspx
在将域控制器升级为该angular色之前,它是一个简单的工作组(独立)服务器,并具有本地pipe理员帐户和本地pipe理员组。 当你创build一个域时,这些账户不会消失。 他们作为域pipe理员帐户和域内置\ Administrators组合并到域中。
内置\ Administrators组具有对域控制器的pipe理访问权限,但不会自动授予域中所有计算机的pipe理访问权限,而Domain Admins则是。
域pipe理员组和AD内置\ Adminstrators组(不是客户端上的本地pipe理员组)有效地授予用户相同的权限,但是存在一些细微差别:
bultin / administrators组是在安装Windows时默认创build的。 这个组完全和不受限制地访问计算机。 默认情况下,该组中唯一的用户帐户是Administrator。
域pipe理员组只存在于Windows域中。 这个群组完全和不受限制地访问整个域名,能够login到域名成员的任何PC或服务器。
将pc / server添加到域时,域pipe理员组将自动成为内build/pipe理员组的成员,从而为域pipe理员提供对计算机的pipe理员级访问权限。
如果您将帐户从域pipe理员组移到了内置/pipe理员组,那么该帐户将能够pipe理本地计算机,除非您将该帐户添加到其他内置/pipe理员组。
这是一个简单而复杂的答案。
简单的答案总是使用域pipe理员组。
复杂的答案是,域pipe理员给pipe理员的一切(DC,服务器和工作站)的域名。 内置\pipe理员最初只允许访问所有 DC(它是一个本地组,但得到复制),而不是服务器或工作站。 但是, pipe理员访问DC可以将自己提升到域pipe理员。 所以从安全angular度来看,它们是相当的。
内置\pipe理员存在的主要原因是,程序检查pipe理员访问可以检查任何机器上的相同的地方。
DC是你的城堡的关键,你永远不能给pipe理员一个而不是另一个(有效的)或本地服务器,而不是整个域,所以不应该只有本地pipe理员访问只有他们的程序/文件。