本地管理与域管理

Question

我在学习行政帐户的功能。我的问题特别是域和本地管理员帐户之间的区别。当第一次远程登录到服务器或工作站时，您需要首先以域管理员的身份登录，还是可以作为本地管理员帐户第一次远程登录？另外，在哪些事件中，您希望使用本地管理帐户而不是域管理帐户？我一直在阅读这两种功能的不同之处，据我所知，您似乎希望使用特定于工作站的函数的本地帐户，以及用于特定于域的函数的域帐户。任何帮助都将不胜感激。

你好，乔什

Answer 1

默认情况下，域管理员组是所有成员服务器和计算机的本地管理员组的成员，因此，从本地管理员的角度来看，分配的权限是相同的。

在使用Active Directory时，出现了不同之处。域管理员提高了对其进行管理和更改的权限。

强烈建议不授予任何人域管理员的权限，但直接负责AD管理任务的人除外。

例如，如果有人向所有设备请求管理权限，则永远不要授予他们域管理权限。相反，通过受限组或GPO首选项将一个新的AD组添加到所有设备的本地管理员组中。

Answer 2

“当第一次远程登录到服务器或工作站时，您需要首先以域管理员的身份登录还是以本地管理员帐户第1名的身份远程登录？”--这并不重要，但首先本地管理员要在远程计算机上本地启动主目录，所以如果您需要在域丢失的情况下登录，则启动速度要快得多。

“另外，在某些事件中，人们希望使用本地管理帐户而不是域管理帐户？”--在域崩溃的情况下。从备份恢复DC的唯一方法是以本地管理身份登录。

“您似乎希望使用特定于工作站的功能的本地帐户，以及特定于域的函数的域帐户。”--如果您是域管理员，则尝试以域管理的方式执行所有操作，以避免物理访问工作站。在某些情况下，并不是真正聪明的程序员强迫用户以更高的权限使用他们的应用程序。在这种情况下，不要授予工作站域管理员权限，而是使用本地管理员。

Answer 3

域管理员是一个域帐户，它对域中的所有计算机、客户端和服务器具有管理访问权限。这一级别的访问应严格限于授权管理员。

本地管理员是一台计算机上的本地用户帐户，在该计算机上具有管理访问权限，并且无法访问域中的任何其他计算机，因为它在本地计算机之外是未知的。它主要用于在没有与域控制器连接的情况下使用，例如从域中移除机器并重新连接它。(一种常见的故障排除措施.)即使它对于软件安装的用处也是有限的，因为它可能无法访问要安装的软件所在的网络共享。

在这两者之间是一个普通的域用户，该用户在一台或多台计算机上成为本地管理员组的成员(直接或间接)。这样的用户可以访问具有常规用户权限的服务器和域函数，但在所选计算机上具有管理访问权限。对于需要管理员权限的应用程序、允许破坏自己的机器的高级用户或可能进行客户端安装但不应破坏皇冠珠宝的初级管理员，这是首选的解决方案。