it-swarm-es.com

¿Cómo puedo saber si un determinado usuario de AD tiene derechos de administrador en Windows Server 2003?

¿Cómo puedo saber si un determinado usuario de AD tiene derechos de administrador en una caja de Server 2003? Estoy usando Enterprise Edition.

6
Keng

Depende de si el servidor es un controlador de dominio o no. Si es ¡no un controlador de dominio, todos los usuarios tienen derechos de administrador, que son miembros del Grupo de administradores local (consulte Administración de equipos> Usuarios y grupos locales - Administradores.)

Si el servidor es un controlador de dominio, los usuarios que sean miembros del grupo de administradores o el grupo de administradores de dominio o el grupo de administradores de empresa (si hay un bosque de dominios), tienen derechos de administrador en ese servidor en particular. El grupo de administradores de dominio es un miembro predeterminado de todos los grupos de administradores en todas las computadoras que están en el dominio.

Aquí puede encontrar una lista de cuentas y grupos integrados de Active Directory :

Administradores

Después de la instalación inicial del sistema operativo, el único miembro del grupo es la cuenta de administrador. Cuando una computadora se une a un dominio, el grupo de administradores de dominio se agrega al grupo de administradores. Cuando un servidor se convierte en controlador de dominio, el grupo Administradores de empresas también se agrega al grupo Administradores. El grupo de administradores tiene capacidades integradas que brindan a sus miembros un control total sobre el sistema. El grupo es el propietario predeterminado de cualquier objeto creado por un miembro del grupo.

Administradores de dominio

Un grupo global cuyos miembros están autorizados a administrar el dominio. De forma predeterminada, el grupo de administradores de dominio es miembro del grupo de administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. Los administradores de dominio es el propietario predeterminado de cualquier objeto creado en el Active Directory del dominio por cualquier miembro del grupo. Si los miembros del grupo crean otros objetos, como archivos, el propietario predeterminado es el grupo Administradores.

Administradores de empresas

Un grupo que existe solo en el dominio raíz de un bosque de dominios de Active Directory. Es un grupo universal si el dominio está en modo nativo, un grupo global si el dominio está en modo mixto. El grupo está autorizado para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios. De forma predeterminada, el único miembro del grupo es la cuenta de administrador del dominio raíz del bosque.

3
splattne

También puede ejecutar el comando 'gpresult' mientras está conectado al servidor como el usuario en cuestión. (si eso es posible en este caso)

Obtendrá una buena lista de los grupos de los que son miembros, incluido BUILTIN\Administrators.

3
Yannone

Los grupos locales de servidores (como el grupo de administradores de un servidor) no están disponibles a través de AD. Tienes que buscar en el grupo de administradores en el servidor. Esta publicación tiene un script que enumerará el grupo de administración local de forma remota.

1
squillman

Si la casilla es un servidor miembro, marque el grupo de administradores locales en el servidor. Si se trata de un controlador de dominio, marque tanto los administradores como los administradores de dominio en la herramienta Usuarios y equipos de Active Directory.

1
PowerApp101