我有一个Windows Server 2008 AD domain,有 2 个域控制器,一个带有Windows Server 2008,另一个带有Windows Server 2008 R2。第二个是主 DC。
我想创建一个用户,该用户是local administrator第一个域控制器(windows server 2008),但不能访问,例如,另一个域控制器的共享文件夹,或者使用该帐户在 DC 的另一个成员上使用 mstsc 登录,所以它不能是domain administrator。
这可能吗?
答案1
域控制器上不存在本地用户,只有域用户。
当你将计算机提升为 DC 时,它会将所有用户从本地 SAM到域,并停止使用 SAM。
本地 SAM 仍然存在,但仅用于目录服务还原模式。
您可能想要做一些事情,比如让他们成为普通用户,将他们的登录能力限制在那台机器上,然后委派他们可能需要做的 AD 工作(添加用户、解锁帐户等)。