it-swarm-pt.tech

Como posso saber se um determinado usuário AD tem direitos de administrador no Windows Server 2003?

Como posso saber se um determinado usuário AD tem direitos de administrador em uma caixa Server 2003? Estou usando o Enterprise Edition.

6
Keng

Depende se o servidor é um controlador de domínio ou não. Se for não um controlador de domínio, todos os usuários têm direitos de administrador, que são membros do Grupo de administradores locais (consulte Gerenciamento do computador> Usuários e grupos locais - administradores.)

Se o servidor for um controlador de domínio, os usuários que são membros do Grupo de administradores ou o Grupo de Administradores de Domínio ou o grupo de Administradores de empresa (se houver uma floresta de domínios), têm direitos de administrador nesse servidor específico. O Grupo de Administradores de Domínio é, por padrão, membro de todos os grupos de Administradores em todos os computadores que estão no domínio.

Aqui você pode encontrar um lista de grupos e contas integrados do Active Directory :

Administradores

Após a instalação inicial do sistema operacional, o único membro do grupo é a conta Administrador. Quando um computador ingressa em um domínio, o grupo Admins. Do Domínio é adicionado ao grupo Administradores. Quando um servidor se torna um controlador de domínio, o grupo Administradores Corporativos também é adicionado ao grupo Administradores. O grupo Administradores possui recursos integrados que fornecem a seus membros controle total sobre o sistema. O grupo é o proprietário padrão de qualquer objeto criado por um membro do grupo.

Administradores de domínio

Um grupo global cujos membros estão autorizados a administrar o domínio. Por padrão, o grupo Admins. Do Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os controladores de domínio. Admins do domínio é o proprietário padrão de qualquer objeto criado no Active Directory do domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores.

Administradores de empresa

Um grupo que existe apenas no domínio raiz de uma floresta de domínios do Active Directory. É um grupo universal se o domínio estiver no modo nativo, um grupo global se o domínio estiver no modo misto. O grupo está autorizado a fazer alterações em toda a floresta no Active Directory, como adicionar domínios filho. Por padrão, o único membro do grupo é a conta de administrador do domínio raiz da floresta.

3
splattne

Você também pode executar o comando 'gpresult' enquanto estiver conectado ao servidor como o usuário em questão. (se isso for possível neste caso)

Você obterá uma boa lista dos grupos dos quais eles são membros, incluindo BUILTIN\Administradores.

3
Yannone

Grupos locais de servidor (como um grupo de Administradores de servidor) não estão disponíveis por meio do AD. Você tem que olhar no grupo Administradores no servidor. Esta postagem tem um script que irá enumerar o grupo de administradores locais remotamente.

1
squillman

Se a caixa for um servidor membro, marque o grupo Administradores local no servidor. Se for um controlador de domínio, verifique os administradores e administradores de domínio na ferramenta Usuários e computadores do Active Directory.

1
PowerApp101