डोमेन विज्ञापन बनाम Windows AD DC में व्यवस्थापक [बंद]

16

Microsoft डॉक्स लेख डिफ़ॉल्ट समूह में पढ़ने के बाद इन दो समूहों का वर्णन:

डोमेन प्रवेश

इस समूह के सदस्यों का डोमेन पर पूरा नियंत्रण है। डिफ़ॉल्ट रूप से, यह समूह उस समय डोमेन में शामिल होने वाले सभी डोमेन नियंत्रकों, सभी डोमेन कार्यस्थानों और सभी डोमेन सदस्य सर्वरों पर व्यवस्थापक समूह का सदस्य होता है। डिफ़ॉल्ट रूप से, व्यवस्थापक खाता इस समूह का सदस्य होता है। क्योंकि समूह का डोमेन में पूरा नियंत्रण है, इसलिए सावधानी से उपयोगकर्ताओं को जोड़ें। "

व्यवस्थापकों

इस समूह के सदस्यों के पास डोमेन के सभी डोमेन नियंत्रकों का पूर्ण नियंत्रण है। डिफ़ॉल्ट रूप से, डोमेन Admins और एंटरप्राइज़ Admins समूह व्यवस्थापक समूह के सदस्य हैं। व्यवस्थापक खाता भी एक डिफ़ॉल्ट सदस्य है। क्योंकि इस समूह का डोमेन में पूरा नियंत्रण है, इसलिए सावधानी से उपयोगकर्ताओं को जोड़ें। "

और एक ही लेख में कहा गया है कि दोनों समूहों के पास अपने डिफ़ॉल्ट उपयोगकर्ता अधिकारों का एक समान विवरण है :

इस कंप्यूटर को नेटवर्क से एक्सेस करें; एक प्रक्रिया के लिए मेमोरी कोटा समायोजित करें; फ़ाइलों और निर्देशिकाओं का बैकअप लें; बाईपास ट्रैवर्स चेकिंग; सिस्टम का समय बदलें; पेजफाइल बनाएं; डिबग कार्यक्रम; प्रतिनिधि के लिए विश्वसनीय होने के लिए कंप्यूटर और उपयोगकर्ता खातों को सक्षम करें; रिमोट सिस्टम से शटडाउन बल; शेड्यूलिंग प्राथमिकता बढ़ाएं; लोड और अनलोड डिवाइस ड्राइवर; स्थानीय स्तर पर लॉग की अनुमति दें; ऑडिटिंग और सुरक्षा लॉग प्रबंधित करें; फर्मवेयर पर्यावरण मूल्यों को संशोधित करें; प्रोफ़ाइल एकल प्रक्रिया; प्रोफ़ाइल सिस्टम प्रदर्शन; डॉकिंग स्टेशन से कंप्यूटर निकालें; फ़ाइलों और निर्देशिकाओं को पुनर्स्थापित करें; सिस्टम को बंद करें; फ़ाइलों या अन्य वस्तुओं का स्वामित्व लें।

इसके अलावा, Microsoft डॉक्स लेख डिफ़ॉल्ट स्थानीय समूहों में व्यवस्थापक समूह का यह विवरण शामिल है :

इस समूह के सदस्यों के पास सर्वर का पूर्ण नियंत्रण होता है और वे आवश्यक के रूप में उपयोगकर्ताओं के अधिकारों और एक्सेस कंट्रोल अनुमतियों को असाइन कर सकते हैं। व्यवस्थापक खाता भी एक डिफ़ॉल्ट सदस्य है। जब यह सर्वर एक डोमेन में शामिल हो जाता है, तो डोमेन एडमिन समूह इस समूह में स्वतः जुड़ जाता है ... "

[जोर मेरा]

उपरोक्त को देखते हुए, मुझे समझ में नहीं आता:

  1. उनके बीच क्या अंतर हैं?
  2. उनके डिफ़ॉल्ट अवतार में कब उपयोग करें?
  3. उनकी सगाई के विशेषज्ञ कैसे?
  4. यदि डोमेन व्यवस्थापक व्यवस्थापक के सदस्य हैं, तो क्या यह उन्हें हमेशा समान नहीं बनाता है?

यह प्रश्न उप-प्रश्न है और प्रश्न के संदर्भ में पूछा गया है। क्या AD-join मशीन के स्थानीय उपयोगकर्ता का संदर्भ एक डोमेन मशीन खाते या स्थानीय मशीन खाते से है?

active-directory  domain-controller  groups 
गेनेडी वैनिन Геннадий Ванин
स्रोत
vgv8 आपने अपना प्रश्न बदल दिया है और एक उत्तर स्वीकार कर लिया है जो आपके मूल प्रश्न का ठीक से उत्तर नहीं देता है! आपको लगता है कि यह ट्रिक आपके कई सवालों पर खींची गई है। मैं आपको सलाह देता हूं कि स्टैक ओवरफ्लो का ठीक से उपयोग कैसे करें।
जेम्सरैन
@JamesRyan, मैंने अपने प्रश्न में क्या बदला है ???? मेरी पोस्ट में केवल एक ही चीज़ अपडेट 1 को जोड़ रही थी।
गेनेडी वेनिन Геннадий Ванин
आपका मूल प्रश्न यह है कि वे एक डोमेन में कैसे भिन्न हैं। अद्यतनों और टिप्पणियों में सूक्ष्मता है, लेकिन एक विशेष मशीन पर अलग कैसे हैं, इसे काफी बदल दिया है।
जेम्सरयन
2
यह सवाल भ्रामक है और यह जीवन के दौरान बदल गया है, अब यह पूछा जाने वाले समय से काफी अलग है। नतीजतन यहां कई उत्तर हैं, जो सभी अलग-अलग सवालों के जवाब दे रहे हैं। भविष्य में, यदि आपके प्रश्न का ध्यान महत्वपूर्ण रूप से बदलता है, तो कृपया एक नया प्रश्न पूछें।
सैम कॉगन
2
मैंने इस सभी लुप्तप्राय बकवास को हटाने के लिए इसे वापस ले लिया है जिसकी कोई प्रासंगिकता नहीं है।
जॉन गार्डनियर्स

जवाबों:

12

एक डोमेन नियंत्रक को उस भूमिका में पदोन्नत करने से पहले, यह एक सरल कार्यसमूह (स्टैंडअलोन) सर्वर है और इसमें एक स्थानीय व्यवस्थापक खाता और एक स्थानीय व्यवस्थापक समूह है। जब आप एक डोमेन बनाते हैं, तो वे खाते नहीं चले जाते हैं; वे डोमेन व्यवस्थापक खाते और डोमेन बिलिन \ प्रशासक समूह के रूप में डोमेन में शामिल किए गए हैं।

बिल्टिन एडमिनिस्ट्रेटर समूह के पास डोमेन नियंत्रकों के लिए प्रशासनिक पहुंच होती है, लेकिन डोमेन के भीतर सभी कंप्यूटरों के लिए स्वचालित रूप से प्रशासनिक पहुंच प्रदान नहीं की जाती है, जबकि डोमेन एडमिन होते हैं।

gWaldo
स्रोत
नमस्ते, वाल्डो, मेरा मानना ​​था कि डोमेन व्यवस्थापक को सभी कंप्यूटरों पर स्थानीय प्रशासक समूह में शामिल करके सभी कंप्यूटरों तक पहुंच प्रदान की जाती है, मेरे मुख्य पोस्ट में उद्धरण देखें: "डिफ़ॉल्ट रूप से, यह समूह व्यवस्थापक समूह का सदस्य है डोमेन नियंत्रक, सभी डोमेन वर्कस्टेशन और सभी डोमेन सदस्य सर्वर उस समय डोमेन में शामिल हो जाते हैं "। मेरा मानना ​​था कि अगर मेरे पास इस तरह की अनुमति (या निष्कासन) को हटा दिया जाए तो किसी के पास मेरे कंप्यूटर तक पहुंच नहीं है। सच?
गेन्नेडी वनिन Геннадий Ванин
+1, वैसे भी यह मेरे लिए उपयोगी था क्योंकि डमी के पास AD / DC तक कोई पहुंच नहीं थी
Gennady Vanin Геннадий Ванин
2
मेरे सिर के ऊपर (और मेरे पास जाँच करने के लिए कुंवारी डोमेन नहीं है, और न ही संसाधनों का निर्माण करने के लिए), प्रत्येक मशीन के स्थानीय प्रशासकों के समूह के लिए Admins को जोड़ना डिफ़ॉल्ट डोमेन नीति GPO का हिस्सा है। यदि यह स्थिति है, तो आप अपने स्थानीय Admins समूह से निश्चित रूप से डोमेन Admins हटा सकते हैं, लेकिन उन्हें अगली पॉलिसी रिफ्रेश (डिफ़ॉल्ट रूप से प्रत्येक 90 + [0-30] मिनट) के दौरान वापस रखा जाएगा।)
gWaldo
यह कैसा है? मैंने serverfault.com/questions/173550/… और फॉलो-अप से समझा कि क्लाइंट डोमेन पीसी पर स्थानीय समूह और उपयोगकर्ता ठीक वैसे ही हैं जैसे कि वर्कग्रुप (गैर-ज्वाइन या प्री-जॉइन्ड डोमेन) कंप्यूटर और डोमेन के लिए अज्ञात हैं AD DC) ...
Gennady Vanin Геннадий Ванин
1
@JamesRyan ने इसे फिर से पढ़ा (इसे संपादित नहीं किया गया है): बिल्टइन \ एडमिनिस्ट्रेटर समूह के पास डोमेन नियंत्रकों के लिए प्रशासनिक पहुंच है, लेकिन डोमेन के भीतर सभी कंप्यूटरों के लिए स्वचालित रूप से प्रशासनिक पहुंच प्रदान नहीं की जाती है, जबकि डोमेन एडमिन होते हैं। नियंत्रकों। बहुवचन।
गोलडू
10

डोमेन समूह को स्वीकार करता है, और AD बिल्टिन एडमिनिस्ट्रेटर समूह (क्लाइंट पर स्थानीय व्यवस्थापक समूह नहीं) प्रभावी रूप से उपयोगकर्ताओं को समान अधिकार प्रदान करता है, हालांकि कुछ सूक्ष्म अंतर हैं:

  • बिल्टिन एडमिनिस्ट्रेटर एक डोमेन स्थानीय समूह है, जहाँ डोमेन व्यवस्थापक एक वैश्विक समूह है
  • डोमेन व्यवस्थापक बिल्टइन एडमिनिस्ट्रेटर के एक मेमोरर हैं
  • डोमेन व्यवस्थापक प्रत्येक ग्राहक पीसी पर स्थानीय प्रवेश समूह का सदस्य होता है
  • अंतर्निहित AD व्यवस्थापक सिस्टम पूर्व-AD सिस्टम के साथ बैकवर्ड संगतता प्रदान करने के लिए है
सैम कोगन
स्रोत
5

यह एक सरल और जटिल उत्तर वाला प्रश्न है।

सरल उत्तर हमेशा डोमेन प्रवेश समूह का उपयोग करें।

जटिल उत्तर यह है कि डोमेन प्रवेश डोमेन पर सब कुछ (डीसी, सर्वर और वर्कस्टेशन) के लिए व्यवस्थापक देता है। बिल्टइन एडमिनिस्ट्रेटर शुरू में केवल सभी डीसी (यह एक स्थानीय समूह है लेकिन दोहराया जाता है) तक पहुंच प्रदान करता है, लेकिन सर्वर या वर्कस्टेशन नहीं। हालाँकि, DC तक प्रशासन की पहुँच डोमेन व्यवस्थापक को खुद को उन्नत करने की क्षमता देती है। तो एक सुरक्षा पीओवी से वे समकक्ष हैं।

मुख्य कारण बिल्टइन एडमिनिस्ट्रेटर मौजूद है, ताकि एडमिन एक्सेस के लिए चेक करने वाले प्रोग्राम किसी भी मशीन पर उसी जगह की जांच कर सकें।

डीसी आपके महल की कुंजी हैं, आप कभी भी एक को एडमिन नहीं दे सकते हैं और दूसरे (प्रभावी रूप से) या लोकल सर्वर को नहीं और पूरे डोमेन को नहीं। इसलिए ऐसे प्रोग्राम / फाइल नहीं होनी चाहिए जिनके लिए केवल उन पर लोकल एडमिन एक्सेस की आवश्यकता हो।

JamesRyan
स्रोत
+1 @JamesRyan, "यह एक स्थानीय समूह है लेकिन दोहराया जाता है"। मजेदार, क्योंकि serverfault.com/questions/173550/… में मुझे सर्वसम्मति से जवाब दिया गया था कि स्थानीय कंप्यूटर के बाहर स्थानीय समूहों / खातों को मान्यता नहीं दी जाती है। यद्यपि serverfault.com/questions/174196/… में मैंने इस "गुमनामी" पर सवाल उठाया है क्योंकि प्रशासक और प्रशासक के पास "जाने-माने सुरक्षा पहचानकर्ता" हैं, देखें Technet.microsoft.com/en-us/library/ccc848401.aspx
Gennady Vanin Геннадий Ванин
क्या इसे विंडोज ग्रुप या स्थानीय समूह के रूप में जाना जाता है, मुझे आश्चर्य है?
गेन्नेडी वानिन Геннадий Ванин
सही जवाब होने पर इसे क्यों वोट दिया गया? जवाब नहीं जो आप चाहते थे?
जेम्सरैन
@JamesRyan, मैंने आपके उत्तर को उपयोगी बताया। मेरी रेटिंग लगभग ५० के आसपास है और मुझे कभी भी डाउनवॉटिंग के लिए आवश्यक त्रयी १०० की किसी भी साइट में नहीं होना चाहिए था! इसके अलावा, AFAIK, मैं upvote के बाद डाउनवोट नहीं कर सकता
Gennady Vanin Геннадий Ванин
मैं डाउनवोटर्स से बात कर रहा था
जेम्सरन
4

Windows स्थापित करते समय bultin / व्यवस्थापक समूह डिफ़ॉल्ट रूप से बनाया जाता है। इस समूह में कंप्यूटर तक पूर्ण और अप्रतिबंधित पहुंच है। डिफ़ॉल्ट रूप से एकमात्र उपयोगकर्ता खाता जो इस समूह का सदस्य है प्रशासक है।

डोमेन व्यवस्थापक समूह केवल एक Windows डोमेन में मौजूद है। इस समूह में संपूर्ण डोमेन के लिए पूर्ण और अप्रतिबंधित पहुंच है, किसी भी पीसी या सर्वर पर लॉगऑन करने में सक्षम है जो डोमेन का सदस्य है।

जब एक डोमेन में एक पीसी / सर्वर जोड़ा जाता है, तो डोमेन व्यवस्थापक समूह स्वचालित रूप से बिलिन / प्रशासकों के समूह का सदस्य बन जाता है, इस प्रकार कंप्यूटर के लिए डोमेन प्रशासक व्यवस्थापक-स्तरीय पहुंच प्रदान करता है।

यदि आपने डोमेन व्यवस्थापक समूह से बिल्टइन / एडमिनिस्ट्रेटर समूह में एक खाते को स्थानांतरित किया है, तो वह खाता उस स्थानीय कंप्यूटर को प्रशासित करने में सक्षम होगा, लेकिन और कुछ नहीं, जब तक कि आपने अन्य बिल्डिन / व्यवस्थापक समूह में खाता नहीं जोड़ा।

aleroot
स्रोत
3
मेरा मानना ​​है कि वह AD में प्रशासक समूह के बारे में बात कर रहा है, क्लाइंट पीसी पर स्थानीय व्यवस्थापक समूह के बारे में नहीं
सैम कोगन
कौन है ये"? अगर "वह" vgv8 है, तो मैंने सिर्फ उद्धरणों का एक गुच्छा दिया, जो उन्हें मुझसे स्पष्ट करने के लिए कह रहे थे!
गेन्नेडी वनिन Геннадий Ванин
1
एलरूट सही है कि यह स्थानीय व्यवस्थापक समूह है, लेकिन इसमें गलत यह एक डीसी पर अलग तरह से व्यवहार करता है
JamesRyan
@JamesRyan, +1 मुझे समझाने की कोशिश करने के लिए। एलरूट के उत्तर ने मेरे प्रश्न में मेरे द्वारा बताए गए प्रश्न को दोहराया। मैं यह नहीं देखता कि किस हिस्से में यह कहा गया है कि स्थानीय प्रशासक समूह "एक डीसी पर अलग तरह से व्यवहार करता है"। अन्य टिप्पणी में आपने कहा कि यह (स्थानीय प्रशासक) समूह डीसी के बीच दोहराया जाता है। डीसी को बढ़ावा देने से पहले सर्वर पर व्यवहार समान कैसे हो सकता है?
गेनेडी वानिन Геннадий Ванин
@Sam Cogan, मैं इस बारे में बात कर रहा हूं कि गैर-डोमेन वाले सर्वर / वर्कस्टेशन का स्थानीय प्रशासक समूह AD (यानी क्लाइंट मशीन पर) में शामिल होने वाले कंप्यूटर द्वारा कैसे है (या नहीं?)। मूल पोस्ट में मुझे जवाब दिया गया था कि स्थानीय समूहों और उपयोगकर्ताओं में शामिल होने से पहले और बाद में कोई अंतर नहीं है।
गेन्नेडी वनिन Геннадий Ванин
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.