从另一位顾问手中接手了一位客户。
作为成员服务器的当前文件服务器已加入域。但是,如果您查看控制面板>管理面板>本地用户或帐户
domain_name\Administrator 未添加到本地帐户的服务器。我过去从未真正关注过这一点,只是在查看某些文件夹上的 ntfs 安全设置时偶然发现了它。这意味着 domain_name\administrator 未在 ntfs 安全性中明确设置,但我假设该人是他们基于该用户实际拥有控制权的创建者。
是否应该不明确地将 domain_name\Administrator 添加到其中(这是成员服务器的一部分)?
谢谢。gd
TheCleaner 的回答对我来说有点不清楚,所以我要试一试。
默认情况下,当您将 Windows 计算机加入域时,域中的“DOMAIN\Domain Admins”组将加入到加入计算机的“Administrators”组。“DOMAIN\Domain Users”加入了加入计算机的“用户”组。
默认情况下,“DOMAIN\Administrator”帐户是“DOMAIN\Domain Admins”的成员。由于“DOMAIN\Domain Admins”组在您加入域的每台计算机上都加入了“Administrators”组,因此“DOMAIN\Administrtor”用户成为加入的每台计算机上“Administrators”组的成员到域。
(顺便说一句:如果需要,您可以使用“受限组”策略覆盖此行为,但这是一个不同的问题和另一个蠕虫罐。)
不,默认情况下不会显式添加域帐户。最佳做法是永远不要将个人帐户添加到服务器。始终创建域级别组并将其添加到服务器上的本地组。如前所述,默认情况下添加域管理员组而不是帐户。观看有关管理群组的最佳实践的网络广播
TechNet 网络广播:Windows Server 2003 管理系列(第 4 部分,共 12 部分):组管理(200 级)
DOMAIN\Administrator 是域帐户,而不是本地帐户。因此,它应该列在管理员组的 GROUPS 部分(隐式或显式)。
因此,它将在该组列表中显示为“DOMAIN\Administrator”,或者将包含在该组列表中的“DOMAIN ADMINISTRATORS”中。
这假设其中任何一个都在该组中。
如果没有,您可以将它们设置在组中。
您将需要使用 Active Directory 用户和计算机来检查域的管理员帐户属于域本身的哪些组(如域管理员)