Administradores de domínio x administradores no Windows AD DC [fechado]

Após ler o artigo do Microsoft Docs, o padrão agrupa a descrição desses dois grupos:

Administradores de domínio

Os membros deste grupo têm controle total do domínio. Por padrão, esse grupo é membro do grupo Administradores em todos os controladores de domínio, todas as estações de trabalho do domínio e todos os servidores membros do domínio no momento em que ingressam no domínio. Por padrão, a conta do administrador é um membro deste grupo. Como o grupo tem controle total no domínio, adicione usuários com cautela. "

Administradores

Os membros deste grupo têm controle total de todos os controladores de domínio no domínio. Por padrão, os grupos Admins. Do Domínio e Administradores da Empresa são membros do grupo Administradores. A conta do administrador também é um membro padrão. Como este grupo tem controle total no domínio, adicione usuários com cautela. "

e que o mesmo artigo declara que os dois grupos têm exatamente a mesma descrição de seus direitos de usuário padrão :

Acesse este computador da rede; Ajustar cotas de memória para um processo; Faça backup de arquivos e diretórios; Ignorar verificação transversal; Mude a hora do sistema; Crie um arquivo de paginação; Programas de depuração; Permitir que contas de computador e usuário sejam confiáveis ​​para delegação; Forçar um desligamento de um sistema remoto; Aumentar a prioridade de agendamento; Carregar e descarregar drivers de dispositivo; Permitir logon local; Gerenciar auditoria e log de segurança; Modifique os valores do ambiente do firmware; Perfil de processo único; Perfil do desempenho do sistema; Remova o computador da estação de acoplamento; Restaurar arquivos e diretórios; Desligue o sistema; Tome posse de arquivos ou outros objetos.

Além disso, o artigo Microsoft Docs Grupos locais padrão inclui esta descrição do grupo Administradores :

Os membros deste grupo têm controle total do servidor e podem atribuir direitos de usuário e permissões de controle de acesso aos usuários, conforme necessário. A conta do administrador também é um membro padrão. Quando este servidor ingressa em um domínio, o grupo Admins. Do Domínio é adicionado automaticamente a este grupo ... "

[ênfase minha]

Diante do exposto, não entendo:

1. Quais são as diferenças entre eles?
2. Quando usar qual em sua encarnação padrão?
3. Como especializar o noivado?
4. Se os administradores de domínio são membros de administradores, não os torna sempre iguais?

Esta pergunta é subquestão e é feita no contexto da pergunta. O contexto do usuário local da máquina ingressada no AD é uma conta de máquina de domínio ou uma conta de máquina local?

Antes de um Controlador de Domínio ser promovido para essa função, é um servidor simples de grupo de trabalho (independente) e possui uma conta de Administrador local e um grupo de Administradores local. Quando você cria um domínio, essas contas não desaparecem; eles são incorporados ao domínio como a conta de Administrador do domínio e o grupo \ Administradores interno do domínio.

O grupo \ Administradores interno tem acesso administrativo aos controladores de domínio, mas não recebe automaticamente acesso administrativo a todos os computadores dentro do domínio, enquanto os administradores de domínio têm.

O grupo de administradores do domínio e o grupo \ Adminstrators do AD builtin (não o grupo de administradores local nos clientes) concedem efetivamente aos usuários os mesmos direitos, no entanto, existem algumas diferenças sutis:

• builtin \ administradores é um grupo local de domínio, onde como administradores de domínio é um grupo global
• Os administradores de domínio são membros de \ administradores
• Administradores de domínio são membros do grupo de administradores locais em cada PC cliente
• O grupo interno \ administradores está lá para fornecer compatibilidade com sistemas anteriores ao AD

Esta é uma pergunta com uma resposta simples e complicada.

A resposta simples é sempre usar o grupo de administradores de domínio.

Resposta complicada é que os administradores de domínio fornecem administração para tudo (controladores de domínio, servidores e estações de trabalho) no domínio. builtin \ Administrators inicialmente apenas dá acesso a todos os controladores de domínio (é um grupo local, mas é replicado), mas não a servidores ou estações de trabalho. No entanto, o acesso de administrador a um controlador de domínio oferece a capacidade de elevar-se a administrador de domínio. Então, de um ponto de vista de segurança, eles são equivalentes.

O principal motivo para a existência de \ administradores é que os programas que verificam o acesso do administrador podem verificar o mesmo local em qualquer máquina.

Os controladores de domínio são as chaves do seu castelo; você nunca pode administrar um e nem outro (efetivamente) ou o servidor local e nem todo o domínio; portanto, não deve haver programas / arquivos que exijam acesso de administrador local apenas neles.

O grupo bultin / administradores é criado por padrão quando você instala o Windows. Este grupo tem acesso completo e irrestrito ao computador. Por padrão, a única conta de usuário que é membro deste grupo é Administrador.

O grupo Administradores de Domínio está presente apenas em um domínio do Windows. Esse grupo tem acesso completo e irrestrito a todo o domínio, capaz de efetuar logon em qualquer PC ou servidor que seja membro do domínio.

Quando um PC / servidor é adicionado a um domínio, o grupo de administradores de domínio automaticamente se torna um membro do grupo interno / administradores, fornecendo assim aos administradores de domínio acesso de nível de administrador ao computador.

Se você moveu uma conta do grupo de administradores de domínio para o grupo builtin / adminstrators, essa conta poderá administrar esse computador local, mas nada mais, a menos que você tenha adicionado a conta a outros grupos builtin / adminstrators.