O resumo do resultado da diretiva de grupo diz que o DC é membro de "BUILTIN \ Administrators"

Sempre que executo o assistente de Resultado da Diretiva de Grupo e seleciono um Controlador de Domínio como o computador de destino, o resumo é exibidoBUILTIN\Administrators na lista "Associação ao Grupo de Segurança quando a Diretiva de Grupo foi aplicada" em Configuração do Computador, conforme ilustrado abaixo:

(Nome de domínio, usuário e computador deixado de fora)

Como os controladores de domínio não são membros de administradores (pelo menos não do que posso ver no ADUC), minha pergunta é simplesmente: por quê?

Os controladores de domínio são realmente membros do grupo Administradores ou os resultados GPR estão incorretos (e por que)?

Sim, você está vendo isso corretamente.

Vamos fazer um experimento.

Pegue o psexec da Sysinternals. Transfira para o seu controlador de domínio.

Execute psexec -s -i cmd.exeno seu controlador de domínio.

Agora, no seu novo prompt de comando, digite whoamie whoami /groups. Você verá que agora é a conta SYSTEM no seu controlador de domínio (também conhecido como DC01 $) e que realmente pertence ao grupo Builtin \ Administrators.

Esses grupos internos são compartilhados entre controladores de domínio. Então, aqui está algo interessante:

Digite start \\DC02\c$no seu prompt de comando. Ele deve iniciar o Windows Explorer em seu outro controlador de domínio, porque você (DC01 $) também é um administrador desse controlador de domínio!

Os controladores de domínio não possuem um SAM local da mesma maneira que as máquinas Windows comuns. (Eles funcionam, mas é usado apenas no modo de restauração.) Todos compartilham os grupos do AD Builtin e, como um sistema Windows precisa ser um administrador de si mesmo para funcionar, como qualquer conta SYSTEM em qualquer outra máquina Windows, isso nos dá o efeito colateral interessante de que todos os controladores de domínio acabam sendo administradores um do outro.

Edit: Limpando para a posteridade.