Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Le résumé du résultat des stratégies de groupe indique que le DC est membre de « BUILTIN\Administrators »

ayi

Chaque fois que <a href="http://www.virtuallyimpossible.co.uk/how-to-use-the-group-policy-results-wizard/" rel="noopener nofollow ugc">j’exécute</a> l’<a href="http://technet.microsoft.com/en-us/library/cc780305(v=ws.10).aspx" rel="noopener nofollow ugc">assistant Résultat des stratégies de groupe</a> et que je sélectionne un contrôleur de domaine comme ordinateur cible, le résumé montre <code>BUILTIN\Administrators</code> dans la liste « Appartenance aux groupes de sécurité lors de l’application de la stratégie de groupe » sous Configuration ordinateur, comme illustré ci-dessous :
(Le domaine, l’utilisateur et le nom de l’ordinateur ont été omis)
Puisque les contrôleurs de domaine ne sont pas membres du groupe Administrateurs (du moins pas d’après ce que je peux voir dans ADUC), ma question est simplement : pourquoi ?
Les contrôleurs de domaine sont-ils réellement membres du groupe Administrateurs, ou est-ce que GPResults se trompe (et pourquoi) ?
<hr>
Source : <a href="http://www.virtuallyimpossible.co.uk/how-to-use-the-group-policy-results-wizard/" rel="noopener nofollow ugc">Server Fault</a>

ayi_2

Oui, ce que vous voyez est correct.
Faisons une expérience.
Récupérez psexec de Sysinternals. Transférez-le sur votre contrôleur de domaine.
Exécutez <code>psexec -s -i cmd.exe</code> sur votre contrôleur de domaine.
Maintenant, dans votre nouvelle invite de commandes, tapez <code>whoami</code> et <code>whoami /groups</code>. Vous verrez que vous êtes maintenant le compte SYSTEM sur votre contrôleur de domaine (alias DC01$) et que vous appartenez effectivement au groupe Builtin\Administrators.
Ces groupes intégrés sont partagés entre les contrôleurs de domaine. Voici donc quelque chose d’intéressant :
Tapez <code>start \DC02\c$</code> depuis votre invite de commandes. Cela devrait lancer l’Explorateur Windows sur votre autre contrôleur de domaine car vous (DC01$) êtes aussi un administrateur de ce DC !
Les contrôleurs de domaine n’ont pas de SAM local de la même manière que les machines Windows ordinaires. (Eh bien, ils en ont un mais il n’est utilisé qu’en mode restauration.) Ils partagent tous les groupes intégrés de l’AD, et puisqu’un système Windows doit être administrateur de lui-même pour fonctionner, tout comme n’importe quel compte SYSTEM sur n’importe quelle autre machine Windows, cela nous donne l’effet secondaire intéressant que tous les contrôleurs de domaine finissent par être administrateurs les uns des autres.
Note : nettoyage pour la postérité.