题 如何判断某个AD用户是否具有Windows Server 2003的管理员权限?


如何判断某个AD用户是否具有Server 2003框的管理员权限? 我正在使用企业版。


6
2018-05-19 15:27






答案:


这取决于服务器是否是域控制器。如果它是  域控制器,所有用户都具有管理员权限,谁是本地Administrators组的成员 (请参阅计算机管理>本地用户和组 - 管理员。)

如果服务器是域控制器,则为Administrators组成员的用户 要么 Domain Admins Group 要么 Enterprise Admins组(如果存在域林),具有该特定服务器的管理员权限。默认情况下,Domain Admins组是域中所有计算机上所有管理员组的成员。

在这里你可以找到一个 Active Directory内置组和帐户的列表

管理员

初次安装后   操作系统,唯一的成员   该组是管理员   帐户。当一台计算机加入一个   域管理员组是域   添加到Administrators组。   当服务器成为域时   控制器,企业管理员   组也被添加到   管理员组。该   管理员组已内置   给予其成员的能力   完全控制系统。该   group是any的默认所有者   由一个成员创建的对象   群组。

域管理员 

成员所在的全球组织   授权管理域名。   默认情况下,Domain Admins组是   Administrators组的成员   在已加入的所有计算机上   域名,包括域名   控制器。 Domain Admins就是   任何对象的默认所有者   在域名的Active中创建   该组的任何成员的目录。   如果该组的成员创建其他成员   对象,例如文件,默认值   owner是Administrators组。

企业管理员 

仅存在于根中的组   Active Directory林的域   域名。如果这是一个普遍的群体   域是本机模式,全局   如果域处于混合模式,则为group。   该集团有权制作   森林范围内的变化   目录,例如添加子项   域。默认情况下,唯一的成员   该组是管理员   帐户林根域。


3
2018-05-19 15:46





您还可以在以相关用户身份登录服务器时运行'gpresult'命令。 (如果在这种情况下可行)

您将获得他们所属的组的良好列表,包括BUILTIN \ Administrators。


3
2018-05-27 17:40



我喜欢这个答案! gpresult / s [system] / user [domain \ user]将其指向特定服务器和用户的结果集。 - Kara Marfia
我从来不知道你做了一个远程gpresult。便利! - Yannone


服务器本地组(例如服务器的管理员组)不能通过AD获得。您必须查看服务器上的Administrators组。 这个帖子 有一个脚本,可以远程枚举本地管理员组。


1
2018-05-19 15:34





如果该框是成员服务器,请检查服务器上的本地Administrators组。如果是“域控制器”,请检查“Active Directory用户和计算机”工具中的“管理员”和“域管理员”。


1
2018-05-19 15:48