すべてのサーバーの管理者グループの一部として、単一ドメイン vomain ユーザーにすべてのサーバー上で管理者権限がある同じユーザー:
Windows 2003 サーバーの 1 つのドメイン内のすべてのサーバーで同じユーザーが管理者として構成されています。
このユーザーをドメイン管理者の一部にし、これをすべてのサーバーの管理者グループに設定する必要があります。これは技術的にどう違うのでしょうか?
答え1
ドメイン管理者には、各サーバーで管理する必要なく、ドメイン内のすべてのマシンへの管理者アクセス権が自動的に付与されます。
ドメイン管理者は各マシン上でローカル管理者と同等のアクセス権を持ちますが、ローカル管理者にはドメイン レベルの管理者リソースへの管理者アクセス権はありません。
これが主なポイントであり、違いです。つまり、ドメイン資格情報の集中管理と、各サーバーでの個別の資格情報管理、およびアクセス範囲です。
たとえば、管理者のパスワードを変更したいが、サーバーが 100 台ある場合、1 人のユーザーの資格情報を 1 か所で更新するか、100 台のサーバーにアクセスして 1 つずつ資格情報を更新するか、どちらが良いでしょうか。
また、ドメイン レベルの資格情報は、アクセス時にドメイン リソースからドメイン リソースへ安全に渡されるため、各デバイスにログインしたり資格情報を保存する必要がなくなります。
たとえば、管理者用に Windows レベルの認証を必要とする新しいイントラネット サイトまたは Web アプリを作成したとします。単一のドメイン ユーザーの資格情報を許可リストに追加して維持しますか、それとも、マシン レベルの管理者アカウントごとに 1 つずつ追加しますか。