Tham gia Đăng nhập
Điểm:0
friendly joe avatar Server

Tại sao một số nhóm trong âgroupsâ và một số trong âbuildinâ?

lá cờ in
friendly joe

tôi có thể di chuyển tất cả các nhóm (và người dùng) mặc định sang â dựng sẵn không? lý do để có một số trong số họ trong thư mục nhóm/người dùng là gì. ví dụ: âNhóm sao chép mật khẩu RODC được phépâ.

44
0 + 0
Điểm:1
avatar Server
lá cờ cn
Greg Askew

Vùng chứa dựng sẵn là vùng chứa mặc định cho các nhóm bảo mật có tiền tố là Miền dựng sẵn SID S-1-5-32. SID cho hiệu trưởng bảo mật nội trang nhất định giống nhau trên mọi hệ thống Windows và không chứa SID miền.

Vùng chứa Người dùng là vùng chứa mặc định cho người dùng và nhóm không được tích hợp sẵn.

Không có lý do gì để di chuyển bất kỳ đối tượng nào vào hoặc ra khỏi vùng chứa Tích hợp.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers

"SID cho các nhóm và tài khoản tích hợp sẵn luôn có cùng một giá trị định danh miền: 32. Giá trị này xác định miền Tích hợp, tồn tại trên mọi máy tính đang chạy phiên bản hệ điều hành Windows Server. Không bao giờ cần thiết phải phân biệt một các nhóm và tài khoản tích hợp của máy tính khỏi các nhóm và tài khoản tích hợp sẵn của máy tính khác vì chúng có phạm vi cục bộ."

0 + 0
friendly joe avatar
lá cờ in
friendly joe
nhưng có lý do nào khiến nhóm "Nhóm sao chép mật khẩu RODC được phép" không có trong -Container "dựng sẵn" này không? và có thể di chuyển nó từ "nhóm" -> "dựng sẵn" mà không gặp sự cố không?
0
Hồi đáp
lá cờ cn
Greg Askew
@friendjoe: kiểm tra SID, đó không phải là SID dựng sẵn (32), đó là SID tên miền (21). Tôi không tin là sẽ có vấn đề, nhưng không có nhiều thông tin vì không ai làm việc này.
0
Hồi đáp
friendly joe avatar
lá cờ in
friendly joe
Tôi biết rằng không có nhiều thông tin.. nếu không thì tôi đã không hỏi. rằng SID khác nhau trên buitlin và người dùng miền cũng ổn .. nhưng không thực sự trả lời câu hỏi. Tôi cần một cách để tạo khả năng cho nhiều người thuê trong Hệ thống IAM của mình.. nhưng tôi không thể không cho phép người dùng/nhóm có quyền đọc vì khi đó nó sẽ ngừng hoạt động..
0
Hồi đáp
lá cờ cn
Greg Askew
@friendjoe: đây là thứ sẽ mất 10 phút để kiểm tra.
0
Hồi đáp
friendly joe avatar
lá cờ in
friendly joe
Tôi đang thử nghiệm nó và có vẻ như nó hoạt động (tôi đã tạo một vùng chứa bổ sung cho chúng). nhưng tôi sợ rằng có thể có một vấn đề trong tương lai vì nó.
0
Hồi đáp
Điểm:0
Semicolon avatar Server
lá cờ jo
Semicolon

Các nhóm BUILTIN là các nhóm cục bộ ban đầu của bộ điều khiển miền đầu tiên trong rừng (đó là lý do tại sao "32" có trong SID). Mặc dù tất cả các nhóm đều là cục bộ của bộ điều khiển miền, nhưng bạn sẽ thấy rằng các nhóm này về cơ bản là các nhóm cục bộ "được chia sẻ" của bộ điều khiển miền. Trong những năm qua, nhiều nhóm cụ thể của Bộ điều khiển miền này đã được thêm vào (chẳng hạn như "Nhóm sao chép mật khẩu RODC được phép")

Ví dụ:

  • thêm người dùng vào nhóm BUILTIN\Remote Desktop Users cấp quyền truy cập RDP cho Bộ điều khiển miền
  • thêm người dùng vào nhóm người dùng Quản lý từ xa sẽ trao WinRM truy cập vào bộ điều khiển miền
  • Print Operator? Đó là quản lý máy in trên bộ điều khiển miền (điều mà bạn không bao giờ nên làm).

Đó là cách dễ hiểu nhất đối với tôi. Cách tốt nhất để nghĩ về chúng - nói chung, bạn không nên sử dụng các nhóm này cho bất kỳ mục đích nào khác.

Về việc liệu chúng có thể di chuyển được hay không? Tôi thường để yên các nhóm BUILTIN, nhưng nếu bạn thực sự quan tâm đến việc dọn dẹp, hãy tham khảo tài liệu này để biết chi tiết về nhóm nào có thể, không thể di chuyển. Hãy chú ý đến tài liệu tham khảo sau:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.