这是一个 2000 功能级别域 :( :( :( *
我在域 A 中有一个域本地安全组,其中包含来自域 B 的 1 个用户和来自域 A 的多个用户。
在域 A 中的服务器上,我可以通过“net localgroup”将此域本地组添加到本地计算机管理员组,但是,执行此操作后,我注意到该组的成员没有被授予本地管理员权限(无法远程登录等)。
当我通过计算机管理 GUI 查看本地组时,我可以看到域本地组。我尝试通过 GUI 删除并重新添加它,但是找不到域本地组。我可以看到所有全局组,但看不到任何域本地组。
我已搜索过并且没有发现任何迹象表明这不起作用。
我是否应该能够将域本地安全组添加到本地计算机管理员组?如果可以,为什么我无法使用组管理 GUI 找到该对象?
答案1
工作站 SAM 在许多方面就像具有单向信任关系的独立域一样。因此,虽然我找不到明确的文档,但我并不觉得这不起作用是令人惊讶的,因为它类似于将一个域中的域本地组添加到另一个域中的域本地组中,这不允许(见表7-1)。
(唯一奇怪的是,如果域是 Windows 2003 功能级别,它似乎可以工作,而且我也找不到有关此更改的记录。)
无论如何,通过将域本地组更改为通用组,您应该能够解决问题。假设您至少在 Windows 2000 本机模式下运行,而不是在 Windows 2000 混合模式下运行,则支持通用组,它们是专门为这种情况设计的。
答案2
我遇到过类似的问题:我可以将域本地组添加到域成员上的本地组(例如“net localgroup Administrators /add NameOfDomainLocalGroup”),但成员资格未显示(例如在“net localgroup Administrators”的输出中)并且成员资格没有生效。
我追踪到原因是从同一个操作系统映像(Server 2008 R2)克隆了域控制器和域成员,而没有执行 sysprep 步骤。(重复的 SID)
在域成员上运行 sysprep 并将其重新添加到域后,一切正常:)
答案3
查找 Microsoft 的 AGDLP 设计最佳实践。您的帐户应归入全局组,而您的全局组应归入域本地组。然后,您将权限分配给域本地组。
因此,对于您的情况,请创建一个名为“ServerX Local Admins”的 DL 组,并将其添加到服务器上的本地管理员组。创建一个具有有意义的代表性名称的全局组,并将域 B 中的帐户添加到该组。然后,将该组添加到 DL 组。