그룹 정책 결과 마법사를 실행 하고 대상 컴퓨터로 도메인 컨트롤러를 선택할 때마다 아래 그림과 같이 컴퓨터 구성에서 “그룹 정책이 적용될 때 보안 그룹 구성원 자격”목록에 요약이 표시 됩니다.BUILTIN\Administrators
(도메인, 사용자 및 컴퓨터 이름이 빠져 있음)
도메인 컨트롤러는 관리자의 구성원이 아니기 때문에 (적어도 ADUC에서 볼 수있는 내용이 아님) 내 질문은 간단합니다. 왜 그렇습니까?
도메인 컨트롤러가 실제로 Administrators 그룹의 구성원입니까, 아니면 GPResults가 잘못 되었습니까 (그리고 왜)?
답변
예, 당신은 그것을 올바르게보고 있습니다.
실험을 해보자.
Sysinternals에서 psexec를 가져옵니다. 도메인 컨트롤러로 전송하십시오.
psexec -s -i cmd.exe
도메인 컨트롤러에서 실행하십시오 .
이제 새 명령 프롬프트에 입력 whoami
하고 whoami /groups
. 이제 도메인 컨트롤러 (일명 DC01 $)의 SYSTEM 계정이며 실제로 Builtin \ Administrators 그룹에 속해 있음을 알 수 있습니다.
이러한 기본 제공 그룹은 도메인 컨트롤러간에 공유됩니다. 그래서 여기에 깔끔한 것이 있습니다.
start \\DC02\c$
명령 프롬프트에서 입력 하십시오. (DC01 $)도 해당 DC의 관리자이기 때문에 다른 도메인 컨트롤러에서 Windows 탐색기를 시작해야합니다!
도메인 컨트롤러에는 일반 Windows 컴퓨터와 같은 방식으로 로컬 SAM이 없습니다. (그렇지만 복원 모드에서만 사용됩니다.) 이들은 모두 AD Builtin 그룹을 공유하며 Windows 시스템은 다른 Windows 시스템의 SYSTEM 계정과 마찬가지로 작동하려면 자체 관리자 여야하므로 이는 모든 도메인 컨트롤러가 서로의 관리자가되는 흥미로운 부작용을 제공합니다.
편집 : 후손 청소.