Après avoir lu dans l'article Microsoft Docs par défaut la description de ces deux groupes:
Administrateurs de domaine
Les membres de ce groupe ont le contrôle total du domaine. Par défaut, ce groupe est membre du groupe Administrateurs sur tous les contrôleurs de domaine, tous les postes de travail de domaine et tous les serveurs membres du domaine au moment où ils sont joints au domaine. Par défaut, le compte Administrateur est membre de ce groupe. Étant donné que le groupe dispose d'un contrôle total sur le domaine, ajoutez des utilisateurs avec prudence. "
Administrateurs
Les membres de ce groupe ont le contrôle total de tous les contrôleurs de domaine du domaine. Par défaut, les groupes Administrateurs de domaine et Administrateurs d'entreprise sont membres du groupe Administrateurs. Le compte Administrateur est également un membre par défaut. Étant donné que ce groupe dispose d'un contrôle total sur le domaine, ajoutez les utilisateurs avec prudence. "
et que le même article déclare que les deux groupes ont exactement la même description de leurs droits d'utilisateur par défaut :
Accédez à cet ordinateur depuis le réseau; Ajustez les quotas de mémoire pour un processus; Sauvegardez les fichiers et répertoires; Contournement de la vérification de la traversée; Modifiez l'heure du système; Créez un fichier d'échange; Programmes de débogage; Activer la confiance des comptes d'ordinateur et d'utilisateur pour la délégation; Forcer l'arrêt d'un système distant; Augmentez la priorité de planification; Charger et décharger les pilotes de périphériques; Autoriser la connexion locale; Gérer le journal d'audit et de sécurité; Modifier les valeurs de l'environnement du micrologiciel; Profil d'un processus unique; Profil des performances du système; Retirez l'ordinateur de la station d'accueil; Restaurer des fichiers et des répertoires; Arrêtez le système; Prenez possession de fichiers ou d'autres objets.
De plus, l'article Microsoft Docs Groupes locaux par défaut inclut cette description du groupe Administrateurs :
Les membres de ce groupe ont le contrôle total du serveur et peuvent attribuer des droits d'utilisateur et des autorisations de contrôle d'accès aux utilisateurs si nécessaire. Le compte Administrateur est également un membre par défaut. Lorsque ce serveur est joint à un domaine, le groupe Administrateurs du domaine est automatiquement ajouté à ce groupe ... "
[c'est moi qui souligne]
Compte tenu de ce qui précède, je ne comprends pas:
- Quelles sont les différences entre eux?
- Quand utiliser lequel dans leur incarnation par défaut?
- Comment spécialiser leur engagement?
- Si les administrateurs de domaine sont membres d'administrateurs, cela ne les rend-ils pas toujours égaux?
Cette question est une sous-question et posée dans le contexte de la question. Le contexte de l'utilisateur local d'une machine jointe à AD est-il un compte de machine de domaine ou de compte de machine locale?