目前我的用户帐户是管理员和域管理员在具有两个 DC 的网络中。在两个 DC 上,我的组成员身份的更改将毫无问题地复制。但是,如果我登录到域成员计算机,我就不是组管理员了。
据我所知,AD 组成员管理员应该会授予您每台域计算机的管理权限。什么可能导致此错误以及如何解决?
此外,如果我在 DC 上执行gpresult(即使在一些 's 之后),我的组成员身份也会正确列出。如果我在成员计算机上执行此操作,则不会。gpupdate
TIA,rhavin。
答案1
默认情况下,域管理员组位于域成员计算机上的内置管理员组中。域控制器上的管理员组授予域控制器的管理权限,默认情况下,域管理员应是该组的成员。
通过将您的帐户添加到标准配置中的域管理员组,您的帐户将被赋予域管理员组拥有的所有权利和特权。您不会在本地成员计算机的管理员组中看到您的帐户有单独的条目。您应该只看到域管理员,除非有人使用组策略添加其他组。
您可以从以下位置了解每个默认组的具体功能微软技术网。默认组从 Server 2003 开始基本就没变过,所以这个链接还是有用的。
网络连接或组策略实施可能存在许多问题,因此请查看事件日志以查找错误。如果它显示无法看到域控制器,则表示您使用缓存的凭据登录,并且计算机无法识别组成员身份的更改。
一旦解决了任何组策略和网络连接问题,请打开命令提示符并运行“gpupdate /force”以手动获取所有最新的组策略更新,并在必要时重新启动计算机。这将确保本地计算机从 Active Directory 获取正确的设置,表明您是域管理员组的成员。
总而言之,将帐户添加到域管理员似乎是正确的做法。您不应该看到自己的名字是管理员,而应该看到本地计算机上的 AD 组“mydomain\domain admins”。如果在重新启动本地计算机后仍然无法执行管理任务,则需要检查网络连接和组策略是否存在错误。