Windows AD DC의 도메인 관리자 및 관리자

Microsoft Docs 기사 기본 그룹 에서 다음 두 그룹에 대한 설명 을 읽었습니다 .

도메인 관리자

이 그룹의 구성원은 도메인을 완전히 제어 할 수 있습니다. 기본적으로이 그룹은 도메인에 가입 할 때 모든 도메인 컨트롤러, 모든 도메인 워크 스테이션 및 모든 도메인 구성원 서버에서 Administrators 그룹의 구성원입니다. 기본적으로 관리자 계정은이 그룹의 구성원입니다. 그룹은 도메인에서 모든 권한을 갖기 때문에주의해서 사용자를 추가하십시오. "

관리자

이 그룹의 구성원은 도메인의 모든 도메인 컨트롤러를 완전히 제어 할 수 있습니다. 기본적으로 Domain Admins 및 Enterprise Admins 그룹은 Administrators 그룹의 구성원입니다. 관리자 계정도 기본 구성원입니다. 이 그룹은 도메인을 완전히 제어 할 수 있으므로 사용자를 신중하게 추가하십시오. "

동일한 기사에 따르면 두 그룹 모두 기본 사용자 권한 에 대해 정확히 동일한 설명이 있습니다 .

네트워크에서이 컴퓨터에 액세스하십시오. 프로세스의 메모리 할당량을 조정하십시오. 파일과 디렉토리를 백업하십시오. 트래버스 검사를 무시합니다. 시스템 시간을 변경하십시오. 페이지 파일을 작성하십시오. 디버그 프로그램; 컴퓨터 및 사용자 계정을 위임 할 수 있도록합니다. 원격 시스템에서 강제 종료합니다. 스케줄링 우선 순위를 높이십시오. 장치 드라이버를로드 및 언로드합니다. 로컬 로그온 허용; 감사 및 보안 로그를 관리합니다. 펌웨어 환경 값을 수정하십시오. 단일 프로세스 프로파일; 프로필 시스템 성능; 도킹 스테이션에서 컴퓨터를 제거하십시오. 파일 및 디렉토리를 복원하십시오. 시스템을 종료하십시오. 파일이나 다른 객체의 소유권을 가져옵니다.

또한 Microsoft Docs 기사 기본 로컬 그룹 에는 다음과 같은 관리자 그룹 설명이 포함되어 있습니다 .

이 그룹의 구성원은 서버를 완전히 제어 할 수 있으며 필요에 따라 사용자 권한 및 액세스 제어 권한을 사용자에게 할당 할 수 있습니다. 관리자 계정도 기본 구성원입니다. 이 서버가 도메인에 가입되면 Domain Admins 그룹이이 그룹에 자동으로 추가됩니다 ... "

[강조 광산]

위의 내용을 이해하지 못합니다.

1. 그들 사이의 차이점은 무엇입니까?
2. 기본 화신에서 언제 사용합니까?
3. 그들의 참여를 전문화하는 방법?
4. Domain Admins가 Administrators의 구성원 인 경우 항상 동일하지 않습니까?

이 질문은 질문의 하위 질문이며 문맥에 따라 AD 가입 컴퓨터의 로컬 사용자 컨텍스트가 도메인 컴퓨터 계정입니까 아니면 로컬 컴퓨터 계정입니까?

도메인 컨트롤러가 해당 역할로 승격되기 전에 간단한 작업 그룹 (독립 실행 형) 서버이며 로컬 관리자 계정과 로컬 관리자 그룹이 있습니다. 도메인을 만들면 해당 계정이 사라지지 않습니다. 도메인 관리자 계정 및 도메인 builtin \ Administrators 그룹으로 도메인에 통합됩니다.

builtin \ Administrators 그룹에는 도메인 컨트롤러에 대한 관리 액세스 권한이 있지만 도메인 관리자는 도메인 내의 모든 컴퓨터에 대한 관리 액세스 권한이 자동으로 부여되지 않습니다.

클라이언트의 로컬 관리자 그룹이 아닌 도메인 관리자 그룹과 AD builtin \ Adminstrators 그룹은 사용자에게 동일한 권한을 효과적으로 부여하지만 약간의 차이가 있습니다.

• builtin \ administrators는 도메인 로컬 그룹으로, 도메인 관리자는 글로벌 그룹입니다.
• 도메인 관리자는 내장 관리자의 구성원입니다.
• 도메인 관리자는 각 클라이언트 PC에서 로컬 관리자 그룹의 구성원입니다.
• builtin \ administrators 그룹은 AD 이전 시스템과의 호환성을 제공하기 위해 존재합니다.

이것은 간단하고 복잡한 답변이있는 질문입니다.

간단한 대답은 항상 도메인 관리자 그룹을 사용하는 것입니다.

복잡한 대답은 도메인 관리자가 도메인의 모든 항목 (DC, 서버 및 워크 스테이션)에 관리자를 제공한다는 것입니다. builtin \ Administrators는 처음에는 모든 DC (로컬 그룹이지만 복제 됨) 에만 액세스 할 수 있지만 서버 나 워크 스테이션 에는 액세스 할 수 없습니다. 그러나 DC에 대한 관리자 액세스 권한은 도메인 관리자로 자신을 상승시킬 수있는 기능을 제공합니다. 따라서 보안 관점에서 그들은 동등합니다.

내장 \ 관리자가 존재하는 주된 이유는 관리자 액세스를 확인하는 프로그램이 모든 컴퓨터에서 동일한 위치를 확인할 수 있기 때문입니다.

DC는 성의 열쇠이므로 전체 도메인이 아닌 다른 서버 또는 다른 서버에 관리자에게 절대로 효과를 줄 수 없으므로 로컬 관리자 액세스가 필요한 프로그램 / 파일이 없어야합니다.

bultin / administrators 그룹은 Windows를 설치할 때 기본적으로 작성됩니다. 이 그룹은 컴퓨터에 완전하고 제한없이 액세스 할 수 있습니다. 기본적으로이 그룹의 구성원 인 유일한 사용자 계정은 관리자입니다.

도메인 관리자 그룹은 Windows 도메인에만 있습니다. 이 그룹은 전체 도메인에 대한 무제한의 액세스 권한을 가지며 도메인의 구성원 인 모든 PC 또는 서버에 로그온 할 수 있습니다.

PC / 서버가 도메인에 추가되면 도메인 관리자 그룹이 자동으로 내장 / 관리자 그룹의 구성원이되어 도메인 관리자에게 컴퓨터에 대한 관리자 수준의 액세스 권한을 제공합니다.

도메인 관리자 그룹에서 기본 제공 / 관리자 그룹으로 계정을 이동 한 경우 계정을 다른 기본 제공 / 관리자 그룹에 추가하지 않으면 해당 계정은 해당 로컬 컴퓨터를 관리 할 수 ​​있지만 다른 것은 없습니다.