本地用户组可以包含域组作为成员吗?
情况是这样的:Server 2012 安装了 Hyper-V 角色,以非管理员身份登录无法访问虚拟机管理器,原因是出现错误:
您没有所需的权限
我可以通过将用户添加到本地“Hyper-V 管理员”组来解决这个问题,这个方法很好,但我希望在域级别执行此操作。
例如,我可以拥有一个域\Hyper-V 管理员组,它是本地\Hyper-V 管理员组的成员吗?或者我是否可以以某种方式向域\Hyper-V 管理员组授予运行 VMM 的适当权限?
答案1
域成员计算机上的本地组可以嵌套来自域的组(全局、域本地或通用)。创建“DOMAIN\Hyper-V 管理员”组当然是一个可行的想法。
您应该研究使用“受限组”,它可以允许您在加入域的 Hyper-V 主机上自动执行此组嵌套。这个 HOWTO 很好,尽管它并没有充分说明您会非常想经常使用“该组是其成员”功能。
答案2
是的,您可以将域组添加到加入域的计算机上的本地组。
答案3
是的,您可以在本地组中嵌套域组,这确实是通常的做法:每当计算机加入域时,“域管理员”组就会自动放置在本地“管理员”组中;这就是域管理员在所有加入域的计算机上获取特权的方式。