Что за политика добавляет группу администраторы домена в локальную группу Администраторы?

Question

[Николай Секрет]

Как-то давно в одном видео находил ответ, но сегодня не смог его найти.
Точно видел, что это происходит политикой, но не помню локальной или групповой.
Прошу напомнить.

Группа администраторы домена имеет SID: S-1-5-21domain-512, политика добавляет этот SID в группу локальных администраторов.

Comments

[kolossradosskiy]

Администраторы домена и так являются локальными администраторами на всех компьютерах домена.

[Николай Секрет]

kolossradosskiy, Да, но на основании какой политики.

[Ezhyg]

Николай Секрет, при чём тут "политика"? Это определено "умолчанием" о вхождении пользователей одной группы в другую группу.

[Николай Секрет]

Ezhyg, не согласен. Потому, что если бы это было, переопределение политики restricted group не имело бы влияния на группу администраторы, а оно имеет. Причем по правилам применения политик.

[Ezhyg]

Николай Секрет, а я не говорил, что это нельзя переопределить, но оно потому и пере-.

[Николай Секрет]

Ezhyg, мне кажется я понял ход ваших мыслей. Действительно, на первый взгляд звучит логично, GPO как раз для этого и создавалась, чтобы централизованно изменять настройки по умолчанию.

[Ezhyg]

Николай Секрет, ура! :)

Answer 1

[Николай Секрет]

Получил ответ от автора видео.
Он указал, что я перепутал поведение по умолчанию и добавление политики Restricted Groups о которых и говорилось в том видео.
По умолчанию, компьютер присоединившийся к АД, на уровне учетной записи компьютера, добавляет в группу локальных администраторов, группу "Администраторы домена" из АД и делает это один раз. Если группу "Администраторы домена" удалить из группы локальных администраторов первая во второй больше не появится.

Answer 2

[Дмитрий]

Группа Domain Admin по умолчанию входит в группу Adminstrations на компах. Если ничего не путаю.

Comments

[Николай Секрет]

Да она входит, но это определено политикой, а не жестким кодом.

[Дмитрий]

Николай Секрет,

Administrators: Members of this group have full control of the server and can assign user rights and access control permissions to users as necessary. The Administrator account is also a default member. When this server is joined to a domain, the Domain Admins group is automatically added to this group. Because this group has full control of the server, add users with caution.

man

[Николай Секрет]

Дмитрий, спасибо. А вы тему читали?

[Дмитрий]

Николай Секрет, да, читал.
Вы пишите:

Точно видел, что это происходит политикой, но не помню локальной или групповой.
Группа администраторы домена имеет SID: S-1-5-21domain-512, политика добавляет этот SID в группу локальных администраторов.

вам отвечают:
это происходит не политикой, это действие по умолчанию для всех компьютеров которые воводятся в домен.
И да, политикой тоже можно

Проверить очень просто - на доменной машине сделать от имени админа (что бы можно было прочитать политики для компьютера) gpresult /H gpreport.html И посмотреть что приходит в конфигурации компьютера

Answer 3

[Юрий Самойлов]

Конфигурация компьютера\Настройка\Параметры панели управления/Локальные пользователи и группы

Comments

[Николай Секрет]

а в кокой политике? В стандартных пусто.

[Юрий Самойлов]

Николай Секрет, лучше создать отдельную политику.

Answer 4

[#]

вообще то это фундаментальный принцип членства в AD - компьютер-член-домена, не может не подчиняться администраторам домена

имхо это может быть даже глубже чем политика. если вы хотите получить компьютер-член-домена, не подчиняющийся администраторам домена... нуу.. попутно .. так сказать..

ps не забудьте всем рассказать, если получится.. ;))

pps мой опыт очевидно устарел. но возможно каменты имеют ценность ))

Comments

[Дмитрий]

Можно удалить Domain Admins из группы локальных администраторов. И ничего драматического не произойдёт. И да, "волшебным образом" они потом не вернуться - надо будет или локальным админом добавлять эту группу или политикой (которую нужно создать), ну или Restricted Groups (что тоже является политикой, создаваемой администратором).

[#]

Дмитрий, эмм... нет стенда под рукой... ок. допустим перегнул ))
5 мин на доставку камента, и удалю.. .. или не сразу ))

[Николай Секрет]

Я позволю себе небольшой оффтоп, с Вашего позволения, если не затруднит на основании чего вы решили, что я сомневаюсь в том принципе, что администраторы домена должны быть администраторами на всех серверах и рабочих станциях, а так же что я хочу это исправить?
Я просто почему спрашиваю, возможно я не правильно оформил вопрос и по этой причине не могу получить корректный ответ.
Просто уже третий, откликнувшийся пользователь пытается убедить меня, что админы домена должны быть админами на компьютерах домена, а так же пытаются научить как как добавить пользователей домена в группу локальных администраторов. А задавал совсем другой вопрос, который, на мой взгляд, подразумевает, что всё это мне известно и я пытаюсь разобраться использует ли Майкрософт свои же инструменты для тревиальной задачи, или же костыли прописывая правила прямо в код, но как я помню они идут по первому вариант. Спасибо.

[#]

Дмитрий, кстати, после

удалить Domain Admins из группы локальных администраторов

комп перестанет подчиняться админам домена? ))
.. если у вас есть стенд, буду благодарен за проверку ))

[Дмитрий]

#, да, я проверял - админ домена становится рядовым пользователем на таком компе.

[#]

Николай Секрет, я как раз выясняю подробности с Дмитрий

хотя вы тоже можете проделать тест

удалить Domain Admins из группы локальных администраторов

и ответить на вопрос

комп перестанет подчиняться админам домена?

при всех прочих условиях, готов согласиться что не совсем верно истолковал ваш вопрос и намерения ))
но уже остался спортивный интерес, повторюсь

комп перестанет подчиняться админам домена?

[#]

Дмитрий, ок. вынужден признать, что 11 лет отрыва от энтерпрайза.. надо быть осторожнее в ответах ))

[#]

полчаса на доставку каментов, и уберу неудачный ответ

[Дмитрий]

#, комп не перестанет подчиняться политикам домена, но группа Domain Admins потеряет административные полномочия на таких компьютерах. Что иногда бывает полезно: администраторы домена рулят только AD, а компьютеры администрирует другая команда.

[Николай Секрет]

Дмитрий, Я провел такой тест. Сделал политику Restricted Groups создал группу Выбрал группу Builtin\Администраторы и оставил пустой. Как следствие все админы домена пропали. Удалил политику и все админы домена вернулись. И я подумал, что если удалить группу администраторы домена, то она сама вернется, через время.

[Дмитрий]

Николай Секрет, вы это делали на контроллере домена? теперь проверьте на рядовом компьютере.
Вот что пишет MS по поводу доменных групп

Managing membership of Domain Groups by using Restricted Groups
Microsoft does not support using Restricted Groups in this scenario. Restricted Groups is a client configuration means and cannot be used with Domain Groups. Restricted Groups is designed specifically to work with Local Groups. Domain objects have to be managed within traditional AD tools. Therefore, we do not plan currently to add or support using Restricted Groups as a way to manage Domain Groups.

[#]

Дмитрий, и так.. мне удалить неудачный ответ? (что я планировал) или оставить тред, содержащий вполне себе полезную другим инфу? ))

[Дмитрий]

#, думаю стоит оставить, ну или перенести в комментарии под вопросом.

[#]

Дмитрий, ок. я знаю один полезный тег ;))

[Николай Секрет]

Дмитрий, простите не понял Вас. Я сделал групповую политику и применил её на OU в которой небыло контроллеров домена, а были рабочие станции. Политику делал на контроллере домена да. В локальной политике пункта Restricted Groups нет.
Ваша цитата с технета, это про другой вариант. Это когда мы хотим включить локального пользователя или группу в доменную группу.

[#]

Николай Секрет, ну допустим я перегнул с "необратимостью".. че с политиками не так?
у вас априори должна быть возможность внедрять политиками кого-то-ку-да-то