当我在本周初收到一台新笔记本电脑时,初始设置引导我使用我的工作电子邮件地址访问我工作场所的域,我相信该地址也与我的 Microsoft MSDN 和/或 Office 365 帐户相关联。大部分情况下,一切运行正常,但我不得不比我喜欢的更频繁地输入密码,所以我决定正式将我的系统加入域。当我尝试执行此操作时,我收到一条错误消息,提示我已加入 Azure AD,但无法加入域。我以前没有听说过,但我按照步骤将自己从 Azure AD 中移除,然后加入域。
此时,一切进展顺利,但我注意到我现在有两个具有相同域名和用户名的配置文件。我的帐户名称(例如)是 MYCOMP\bmarty,并且我有两个目录C:\users:
C:\users\bmarty
C:\users\bmarty.MYCOMP
我还注意到,如果我想添加我的帐户以访问 SQL Server 或目录或文件,我无法输入 MYCOMP\bmarty 来引用我的帐户。我必须输入我的电子邮件地址,然后我的帐户才能正确解析,我才能被添加到 SQL Server 或文件的 ACL 中。
然后我发现我不应该加入该域,因为我只是一个使用外部设备的承包商,而不是使用公司管理的系统。所以我删除了所有个人资料,并使用我的电子邮件地址将自己重新添加到 Azure AD。
现在我的问题是,我无法解析我的帐户名以授予其访问任何资源的权限。旧的 MYCOMP\bmarty 引用已过时(我现在再次用于登录的帐户无法解析为相同的 SID)。现在,当我尝试输入 MYCOMP\bmarty 或我的电子邮件地址时,我会收到错误消息。当我使用 MYCOMP\bmarty 时,我收到以下消息:
以下对象不是来自“选择位置”对话框中列出的域,因此无效: mycomp\bmarty
当我使用我的电子邮件地址时,我收到以下消息:
找不到具有以下名称的对象(用户或内置安全主体):“[电子邮件保护]“。请检查所选对象类型和位置的准确性,并确保您输入的对象名称正确,或者从选择中删除该对象。
我该如何添加我的账户现在现在登录 Windows 到 ACL 了吗?我确认了whoami报告mycomp\bmarty和whoami /upn报告[email protected]。我使用 whoami 查找我的 SID,但 SQL Server 的 ACL 编辑器(看起来和其他地方一样标准)也没有解决这个问题,给了我上面的最后一条错误消息。
答案1
尽管 ACL 编辑器无法使用提供的输入来验证帐户名,但还有其他方法可以授予访问权限。
在 SQL Server 中,只需在用户名字段中输入帐户名 (MYCOMP\bmarty),而无需使用 ACL 编辑器。这实际上有效,并允许我使用 Windows 身份验证登录并访问额外资源
为了解决文件访问问题,可以在管理命令提示符中使用以下icacls命令授予对文件的访问权限:
icacls mydir /grant mycomp\bmarty:(F,WDAC) /T