我是一名开发人员,正在设置用于测试目的的虚拟域环境,但在设置过程中遇到了麻烦。
我在新的森林中创建了一个新的 DC... 将其命名为 dev.contoso.com。我为所有将要成为这个虚拟测试环境一部分的机器设置了一个虚拟内部网络,并为每台机器在 192.169.150.0 子网中提供了一个静态 IP 地址。我已将 machine1.dev.contoso.com 添加到域 dev.contoso.com。我还在域中配置了一个用户帐户 (adminuser),并使该用户成为域管理员组的成员。
使用我新创建的域管理员帐户登录 machine1 后,我无法访问/运行 machine1 上的任何文件。当我进入 c:\ 文件夹的高级权限并转到属性 -> 安全选项卡 -> 高级 -> 有效权限并搜索 dev\adminuser(如上所述)时,我收到一条错误消息:
Windows 无法计算管理员用户的有效权限
我需要做什么才能获得 Machine1 的管理权限?我对 AD 控制器和 machine1 都使用了 Server 2008 R2。
答案1
好吧,在多次重演这一切之后,我在每个步骤之后仔细查看了日志。这揭示了 SID 的问题,然后我突然意识到了!克隆域控制器后,我需要一个不同的 SID。这篇文章机器 SID 重复之谜Mark Russinovich 的文章指出您不再需要 NewSid。根据我很久以前读过的文章,这是真的。但是,如果您使用的是 AD DC,那么这并不适用,正如该文章中的一些评论所建议的那样。
因此,在使用 Server 2008 重建全新 VM 后(而不是使用 Server 2008 从原始基础 VHD 克隆),一切都按预期运行。
答案2
似乎未应用用户组策略。是否有关于该错误的事件日志?您确定已在此计算机所属的 OU 上设置了组策略吗?
@ SMOAK 看来他登录的是域,因为他的用户帐户在本地机器上不起作用。除非他有本地和域用户,并且用户名和密码相同。
编辑/添加
看起来他们正在从域而不是虚拟域中提取组策略。
转到包含计算机的 OU 中的 AD,右键单击 OU,然后转到属性,然后选择“组策略”选项卡。在那里添加您的组策略。组策略从下到上应用并相互覆盖。