Один и тот же пользователь с правами администратора на всех серверах в одном домене пользователь vomain как часть группы администраторов на всех серверах:
Один и тот же пользователь настроен как администратор на всех серверах в одном домене на сервере Windows 2003.
Должен ли этот пользователь быть частью администратора домена, и тогда это может быть настроено в группе администраторов для всех серверов. Чем это отличается технически?
решение1
Администраторам домена автоматически предоставляется доступ администратора ко всем машинам в домене, без необходимости управлять им на каждом сервере.
Администраторы домена имеют эквивалентный доступ локального администратора на каждом компьютере, но локальные администраторы не имеют доступа администратора к ресурсам администратора на уровне домена.
В этом и заключается суть и разница — централизованное управление учетными данными домена по сравнению с индивидуальным управлением учетными данными на каждом сервере и областью доступа.
Допустим, вы хотите изменить пароль администратора, и у вас 100 серверов. Что бы вы предпочли: обновить учетные данные одного пользователя в одном месте или посетить 100 серверов, чтобы обновить учетные данные по одному за раз?
Кроме того, учетные данные на уровне домена безопасно передаются от одного доменного ресурса к другому по мере доступа к ним, что устраняет необходимость входа в систему и/или хранения учетных данных для каждого устройства.
Допустим, вы создали новый сайт интрасети или веб-приложение для администратора, требующее аутентификации на уровне Windows. Вы бы предпочли добавить и поддерживать учетные данные одного пользователя домена в списке разрешенных или добавить по одному для каждой возможной учетной записи администратора на уровне машины?