none
Отличие BUILTIN\Administrators и Domain Admins RRS feed

  • Вопрос

  • Доброго времени суток! Хотелось бы получить внятный ответ чем принципиально отличаются группы BUILTIN\Administrators на контроллерах домена и Domain Admins.

    Берем в качестве теста 1 лес, 1 домен, дефолтная установка.

    Из своего опыта и путем гугления из специфического нашел такое:

    1) Domain Admins Автоматом попадают в группу локальных администраторов на ВСЕХ машинах домена

        BUILTIN\Administrators кроме контроллеров домена не имеют full access на других тачках

    2) Члены BUILTIN\Administrators по умолчанию могут менять владельцев на объектах AD, файловой системы и др., чего Domain Admins не могут

    Какие еще есть отличия? собственно с какой целью есть эти две группы, чем не устраивает только Domain admins? Только пунктом 2? С какой целью доменные  админы и администраторы предприятия по умолчанию входят в  BUILTIN\Administrators? Каких прав им всемогущим не хватает? Что будет если я их выкину оттуда? Какой собственно бест практис по использованию этих групп?

     P.S. еще хотелось бы понять отличие между Enterprise Administrators и Domain Admins в рамках 1 домена и 1 леса. Они равны?


    • Изменено Denis Fokin 7 февраля 2014 г. 10:21
    7 февраля 2014 г. 10:20

Ответы

  • Т.е. по факту если руками добавить везде доменных админов то можно членство с билт-ин убрать. Или еще какая особенность присутствует?

    Ещё присутствуют permissions на ... множество объектов (не только файловой системы). Если не забыть добавить руками доменных админов действительно везде, конечно же, из билт-ин можно убрать :).

    S.A.


    Руками добавить получится не везде. Многие встроенные объекты, которые создаются компонентами ОС, получают список доступа (в котором прописана встроеная группа администраторов) при своем создании, поменять его нельзя.

    Слава России!

    10 февраля 2014 г. 11:16

Все ответы

  • емнип домен админы и энтерпрайз админы (в пределах 1домена 1 леса) по дефолту входят в группу BUILTIN\Administrators на контроллерах домена (так что пункт 2 мне не совсем понятен)

    у BUILTIN\Administrators есть права добавить себя в домен админы, но естественно они по дефолту не являются админаи на рядовых серверах тачках

    P.S. Не равны, для некоторых операций нужны права именно Enterprise Administrators (например авторизация DHCP серверов)


    • Изменено Svolotch 7 февраля 2014 г. 10:29
    7 февраля 2014 г. 10:29
  • емнип домен админы и энтерпрайз админы (в пределах 1домена 1 леса) по дефолту входят в группу BUILTIN\Administrators на контроллерах домена (так что пункт 2 мне не совсем понятен)

    у BUILTIN\Administrators есть права добавить себя в домен админы, но естественно они по дефолту не являются админаи на рядовых серверах тачках

    P.S. Не равны, для некоторых операций нужны права именно Enterprise Administrators (например авторизация DHCP серверов)


    1) Ну вот я и хотел узнать, раз они входят, значит им чего то нехватает, а чего именно? Какие особенные права есть у билтин админов?

    2) Вы не правы, вот попробуйте затолкать в глобальную группу домен-локальную группу =)))

    3) А еще примеров можно? Про DHCP я знаю.

    7 февраля 2014 г. 10:39
  • 1) ну как минимум по дефолту логиниться на DC :) на вскидку в дефолтных политиках указаны именно билтинные админы

    2) ээээ?

    3) Ну ексчу развернуть попробуйте :) дофига если честно там, целенаправленно искать времени в данный момент нет

    7 февраля 2014 г. 12:40
  • Доброго времени суток! Хотелось бы получить внятный ответ чем принципиально отличаются группы BUILTIN\Administrators на контроллерах домена и Domain Admins.

    Берем в качестве теста 1 лес, 1 домен, дефолтная установка.

    Из своего опыта и путем гугления из специфического нашел такое:

    1) Domain Admins Автоматом попадают в группу локальных администраторов на ВСЕХ машинах домена

        BUILTIN\Administrators кроме контроллеров домена не имеют full access на других тачках

    2) Члены BUILTIN\Administrators по умолчанию могут менять владельцев на объектах AD, файловой системы и др., чего Domain Admins не могут

    Какие еще есть отличия? собственно с какой целью есть эти две группы, чем не устраивает только Domain admins? Только пунктом 2? С какой целью доменные  админы и администраторы предприятия по умолчанию входят в  BUILTIN\Administrators? Каких прав им всемогущим не хватает? Что будет если я их выкину оттуда? Какой собственно бест практис по использованию этих групп?

     P.S. еще хотелось бы понять отличие между Enterprise Administrators и Domain Admins в рамках 1 домена и 1 леса. Они равны?


    Ну, прежде всего, они отличаются своим SID (причем у BUILTIN\Administrators SID всегад одинаковый) и составом ;-)

    Далее, они отличаются областью действия. BUILTIN\Administrators - это встроенная локальная группа, действующая только на КД своего домена (на других компьютерах в домене есть своя группа BUILTIN\Administrators с тем же SID - но стостав ее членов другой). Domain Admins - глобальная группа, действующая в пределах всего домена и всех доверяющих ему доменов (весь лес + явно настроенные отношения доверия), но в ее состав могут входить только пользователи из того же домена. Enterprise Admins - универсальная группа, в ее состав могут входить любые пользователи из леса.

    Что касается разрешений, то разрешения на многие внутренние объекты в компьютере дается именно группе BUILTIN\Administrators (благодарю тому, что ее SID фиксирован, он часто прописывается прямо в коде), а члены прочих административных групп получают эти разрешеения через членство этих групп в BUILTIN\Administrators (если UAC не помешает). С этой целью по умолчанию группа Domain Admins добавляется в состав группы BUILTIN\Administrators на всех компьютерах в домене, а группа Enterprise Admins - в группы BUILTIN\Administrators всех доменов (т.е. - всех контроллеров доменов).

    PS Даже в единственноv домене члены группы Enterprise Admins сами по себе не являются членами группы встроенных администраторов на рядовых серверах и рабочих станциях домена, в отличие от членов группы Domain Admins


    Слава России!

    8 февраля 2014 г. 12:26
  • >>>> Domain Admins - глобальная группа, действующая в пределах всего домена и всех доверяющих ему доменов (весь лес + явно настроенные отношения доверия),

    Что значит действующая? По области действия глобальных групп я с Вами соглашусь, но прав у такой группы в чужом домене нет, собственно по этому и Enterprise админы появились, чтоб иметь доступ по всему лесу.

    >>>> Что касается разрешений, то разрешения на многие внутренние объекты в компьютере дается именно группе BUILTIN\Administrators (благодарю тому, что ее SID фиксирован, он часто прописывается прямо в коде), а члены прочих административных групп получают эти разрешеения через членство этих групп в BUILTIN\Administrators

    Я с Вами тут соглашусь. Если брать клиентские тачки или доменные сервера, то тут понятно все. Нужны права локального админа доменной группе? Значит пихай доменную группу в builtin\administrators. Меня интересует специфика именно членства доменных админов в этой группе на контроллерах домена. Чего группе Domain Admins нехватает на контроллерах домена, с какой целью ее пихают в билт-ин администраторы, что будет если я их вытащу оттуда? =)

    8 февраля 2014 г. 15:28
  • Что значит действующая? По области действия глобальных групп я с Вами соглашусь, но прав у такой группы в чужом домене нет, 

    А где M.M.V. сказал что права есть? было просто сказано, что группа BUILTIN\Administrators является условно локальной на домен контроллерах и выйти из этого предела не может. Домен админ полноценная глобал секурити с соответствующими возможностями.

    Чего группе Domain Admins нехватает на контроллерах домена, с какой целью ее пихают в билт-ин администраторы, что будет если я их вытащу оттуда? =)

    я же сказал уже... вытащите.. и посмотрите. 

    Если залогинетесь )))))))))))))

    Дефолтными политиками разрешен доступ только для  BUILTIN\Administrators. доменадмины как бы не при делах. Помотрите например User rights assignment и посмотрите сколько раз там указаны доменадмины(ни разу). 


    8 февраля 2014 г. 15:50
  • Что значит действующая? По области действия глобальных групп я с Вами соглашусь, но прав у такой группы в чужом домене нет, 

    А где M.M.V. сказал что права есть? было просто сказано, что группа BUILTIN\Administrators является условно локальной на домен контроллерах и выйти из этого предела не может. Домен админ полноценная глобал секурити с соответствующими возможностями.

    Чего группе Domain Admins нехватает на контроллерах домена, с какой целью ее пихают в билт-ин администраторы, что будет если я их вытащу оттуда? =)

    я же сказал уже... вытащите.. и посмотрите. 

    Если залогинетесь )))))))))))))

    Дефолтными политиками разрешен доступ только для  BUILTIN\Administrators. доменадмины как бы не при делах. Помотрите например User rights assignment и посмотрите сколько раз там указаны доменадмины(ни разу). 


    Ну собственно я поглядел какие права в User right assignment. Да впечатляет.... так вывод получается какой? Разница именно в правах указанных в этих дефолтных политиках? Т.е. по факту если руками добавить везде доменных админов то можно членство с билт-ин убрать. Или еще какая особенность присутствует?
    9 февраля 2014 г. 9:19
  • а зачем оно вам это надо?

    оставьте как есть

    9 февраля 2014 г. 10:13
  • Что значит действующая? По области действия глобальных групп я с Вами соглашусь, но прав у такой группы в чужом домене нет, собственно по этому и Enterprise админы появились, чтоб иметь доступ по всему лесу.

    "Действующая" означает, что ее можно указывать в качестве члена локальных групп, или в списках разрешений. По умолчанию никаких прав ей не дается, но вручную (или через политики) вы вполне можете добавить ее в нужные группы или списки разрешений.

    Слава России!

    9 февраля 2014 г. 10:28
  • Т.е. по факту если руками добавить везде доменных админов то можно членство с билт-ин убрать. Или еще какая особенность присутствует?

    Ещё присутствуют permissions на ... множество объектов (не только файловой системы). Если не забыть добавить руками доменных админов действительно везде, конечно же, из билт-ин можно убрать :).

    S.A.

    9 февраля 2014 г. 11:11
  • а зачем оно вам это надо?

    оставьте как есть

    Стремление к пониманию
    9 февраля 2014 г. 15:03
  • Т.е. по факту если руками добавить везде доменных админов то можно членство с билт-ин убрать. Или еще какая особенность присутствует?

    Ещё присутствуют permissions на ... множество объектов (не только файловой системы). Если не забыть добавить руками доменных админов действительно везде, конечно же, из билт-ин можно убрать :).

    S.A.

    Просто я навожу порядок с правами в конторе, и учетки ген.директора находится в builtin\administrators, я вот думаю зачем ему такие права? По факту он не станет админом на своей локальной тачке..... на других серверах (файловых например) такие права ему ниче не дадут. А просто бездумно выкидывать его в обычные юзеры как-то не особо хочется, ну вы меня понимаете)) 

    Пытаюсь понять зачем ему такие права кто-то когда то дал.

    9 февраля 2014 г. 15:07
  • Ну некоторая логика в этом есть.

    Такие права действительно на рядовых тачках\серверах ничего не дают, однако на практике встречались ситуации когда админ уехал\заболел\уволился, в итоге прав нет, а задачу надо выполнить вчера - спаситепомогите. Уточните у гены, а знает ли он\она что эта учетка обладает такими правами и нужно ли оно(ибо не секурно). М.б. логичнее создать другую учетку со сложным паролем и такими же правами и в сейф ее.

    10 февраля 2014 г. 8:53
  • Т.е. по факту если руками добавить везде доменных админов то можно членство с билт-ин убрать. Или еще какая особенность присутствует?

    Ещё присутствуют permissions на ... множество объектов (не только файловой системы). Если не забыть добавить руками доменных админов действительно везде, конечно же, из билт-ин можно убрать :).

    S.A.


    Руками добавить получится не везде. Многие встроенные объекты, которые создаются компонентами ОС, получают список доступа (в котором прописана встроеная группа администраторов) при своем создании, поменять его нельзя.

    Слава России!

    10 февраля 2014 г. 11:16