Score:0

เหตุใดบางกลุ่มจึงอยู่ใน "กลุ่ม" และบางกลุ่มอยู่ใน "ในตัว"

ธง in

ฉันสามารถย้ายกลุ่มเริ่มต้นทั้งหมด (และผู้ใช้) ไปยัง â ในตัวได้หรือไม่ อะไรคือเหตุผลที่ต้องมีบางรายการในโฟลเดอร์กลุ่ม/ผู้ใช้ ตัวอย่างเช่น: âAllowed RODC Password Replication Groupâ

Score:1
ธง cn

คอนเทนเนอร์ในตัวเป็นคอนเทนเนอร์เริ่มต้นสำหรับกลุ่มความปลอดภัยที่นำหน้าด้วยโดเมน SID ในตัว S-1-5-32 SID สำหรับหลักความปลอดภัยในตัวที่กำหนดจะเหมือนกันในทุกระบบ Windows และไม่มี SID ของโดเมน

คอนเทนเนอร์ Users เป็นคอนเทนเนอร์เริ่มต้นสำหรับผู้ใช้และกลุ่มที่ไม่ได้ติดตั้งไว้ภายใน

ไม่มีเหตุผลใดที่จะต้องย้ายวัตถุใดๆ เข้าหรือออกจากคอนเทนเนอร์ในตัว

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers

"SIDs สำหรับบัญชีและกลุ่มในตัวจะมีค่าตัวระบุโดเมนเดียวกันเสมอ: 32 ค่านี้ระบุโดเมนในตัว ซึ่งมีอยู่ในคอมพิวเตอร์ทุกเครื่องที่ใช้ระบบปฏิบัติการ Windows Server เวอร์ชันหนึ่ง ไม่จำเป็นต้องแยกความแตกต่าง บัญชีและกลุ่มในตัวของคอมพิวเตอร์จากบัญชีและกลุ่มในตัวของคอมพิวเตอร์เครื่องอื่น เนื่องจากอยู่ในขอบเขตภายในเครื่อง"

friendly joe avatar
in flag
แต่มีเหตุผลอะไรหรือไม่ที่กลุ่ม "Allowed RODC Password Replication Group" ไม่อยู่ใน "builtin"-Container นี้ และเป็นไปได้ไหมที่จะย้ายจาก "กลุ่ม" -> "ในตัว" โดยไม่มีปัญหา
cn flag
@friendlyjoe: ตรวจสอบ SID ไม่ใช่ SID ในตัว (32) แต่เป็นโดเมน SID (21) ฉันไม่เชื่อว่ามันจะมีปัญหา แต่ไม่มีข้อมูลมากนักเพราะไม่มีใครทำสิ่งนี้
friendly joe avatar
in flag
รู้ว่าข้อมูลมีไม่มาก..ไม่งั้นคงไม่ถาม.. SID นั้นแตกต่างกันใน buitlin และผู้ใช้โดเมนก็ไม่เป็นไร .. แต่ไม่ได้ตอบคำถามจริงๆ ฉันต้องการวิธีที่จะทำให้การเช่าหลายรายการเป็นไปได้ในระบบ IAM ของฉัน.. แต่ฉันไม่สามารถยกเลิกการอนุญาตการเข้าถึงแบบอ่านสำหรับผู้ใช้/กลุ่มได้ เนื่องจากมันจะหยุดทำงาน..
cn flag
@friendlyjoe: นี่คือสิ่งที่จะใช้เวลา 10 นาทีในการทดสอบ
friendly joe avatar
in flag
ฉันกำลังทดสอบ rn และดูเหมือนว่าจะใช้งานได้ (ฉันสร้างคอนเทนเนอร์เพิ่มเติมสำหรับพวกเขา) แต่ฉันกลัวว่าอาจมีปัญหาในอนาคตเพราะมัน
Score:0
ธง jo

กลุ่ม BUILTIN เป็นกลุ่มภายในดั้งเดิมของตัวควบคุมโดเมนแรกในฟอเรสต์ (ซึ่งเป็นสาเหตุที่ "32" อยู่ใน SID) แม้ว่ากลุ่มทั้งหมดจะอยู่ในโลคัลของตัวควบคุมโดเมน คุณจะพบว่ากลุ่มเหล่านี้โดยพื้นฐานแล้วเป็นกลุ่มโลคัล "ที่ใช้ร่วมกัน" ของตัวควบคุมโดเมน ในช่วงหลายปีที่ผ่านมา มีการเพิ่มกลุ่มเฉพาะของตัวควบคุมโดเมนเหล่านี้มากขึ้น (เช่น "กลุ่มการจำลองรหัสผ่าน RODC ที่อนุญาต")

ตัวอย่าง:

  • การเพิ่มผู้ใช้ลงในกลุ่ม BUILTIN\Remote Desktop Users ให้สิทธิ์การเข้าถึง RDP ไปยังตัวควบคุมโดเมน
  • การเพิ่มผู้ใช้ลงในกลุ่มผู้ใช้การจัดการระยะไกลมอบ WinRM เข้าถึงตัวควบคุมโดเมน
  • Print Operators? นี่คือการจัดการเครื่องพิมพ์บนตัวควบคุมโดเมน (ซึ่งคุณไม่ควรทำเลย)

นั่นเป็นวิธีที่ง่ายที่สุดสำหรับฉันในการทำความเข้าใจ วิธีที่ดีที่สุดที่จะนึกถึงพวกเขา - โดยทั่วไป คุณไม่ควรใช้กลุ่มเหล่านี้เพื่อสิ่งอื่นใด

ย้ายได้หรือไม่? โดยปกติแล้วฉันจะปล่อยกลุ่ม BUILTIN ไว้ตามลำพัง แต่หากคุณกระตือรือร้นที่จะล้างข้อมูลจริงๆ ให้อ่านเอกสารนี้ซึ่งมีรายละเอียดสำหรับคุณว่ากลุ่มใดย้ายได้และย้ายไม่ได้ ฟังข้อมูลอ้างอิงนี้:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา