그룹 정책 결과 요약에 따르면 DC는“BUILTIN \ Administrators”의 구성원입니다


14

그룹 정책 결과 마법사를 실행 하고 대상 컴퓨터로 도메인 컨트롤러를 선택할 때마다 아래 그림과 같이 컴퓨터 구성에서 "그룹 정책이 적용될 때 보안 그룹 구성원 자격"목록에 요약이 표시 됩니다.BUILTIN\Administrators

그룹 정책 결과 요약 (도메인, 사용자 및 컴퓨터 이름이 빠져 있음)

도메인 컨트롤러는 관리자의 구성원이 아니기 때문에 (적어도 ADUC에서 볼 수있는 내용이 아님) 내 질문은 간단합니다. 왜 그렇습니까?

도메인 컨트롤러가 실제로 Administrators 그룹의 구성원입니까, 아니면 GPResults가 잘못 되었습니까 (그리고 왜)?

답변:


11

예, 당신은 그것을 올바르게보고 있습니다.

실험을 해보자.

Sysinternals에서 psexec를 가져옵니다. 도메인 컨트롤러로 전송하십시오.

psexec -s -i cmd.exe도메인 컨트롤러에서 실행하십시오 .

이제 새 명령 프롬프트에 입력 whoami하고 whoami /groups. 이제 도메인 컨트롤러 (일명 DC01 $)의 SYSTEM 계정이며 실제로 Builtin \ Administrators 그룹에 속해 있음을 알 수 있습니다.

이러한 기본 제공 그룹은 도메인 컨트롤러간에 공유됩니다. 그래서 여기에 깔끔한 것이 있습니다.

start \\DC02\c$명령 프롬프트에서 입력 하십시오. (DC01 $)도 해당 DC의 관리자이기 때문에 다른 도메인 컨트롤러에서 Windows 탐색기를 시작해야합니다!

도메인 컨트롤러에는 일반 Windows 컴퓨터와 같은 방식으로 로컬 SAM이 없습니다. (그렇지만 복원 모드에서만 사용됩니다.) 이들은 모두 AD Builtin 그룹을 공유하며 Windows 시스템은 다른 Windows 시스템의 SYSTEM 계정과 마찬가지로 작동하려면 자체 관리자 여야하므로 이는 모든 도메인 컨트롤러가 서로의 관리자가되는 흥미로운 부작용을 제공합니다.

편집 : 후손 청소.


그냥 psexec를 시작하고 충분히 확인하십시오. 그것은 실제로 의미가 있습니다 :-) 큰 답변, 감사합니다
Mathias R. Jessen

설명을 잊어 버렸습니다-DC에는 로컬 SAM이 없습니다. (그렇지만 복원 모드에서만 사용됩니다.) 모든 DC는 동일한 SAM을 공유하며 ADUC에서 볼 수있는 내장 그룹입니다.
Ryan Ries

:) (내가 왜 말이 좀있어 그) 그래, 그 실현
마티아스 R. Jessen

2
나는 SYSTEM이 (암시 적으로) 관리자의 멤버라는 것을 몰랐다 ... 항상 새로운 것을 배우는 :-)
Massimo
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.