我想添加另一个用户权限来管理所有域计算机。我在 AD 中创建了一个名为信息技术管理员并将我和该用户添加到其中。
然后我将该组添加到其他几个组中,例如:
- 用户 -> 域管理员
- 用户 -> 企业管理员
- 内置 -> 管理员
他仍然无法管理域计算机......
我是否必须在域“管理者”属性中添加此组?我忘记了一个组吗?
这应该很容易...谢谢你的帮助。
答案1
域管理员应具有权限。通常,工作站上的管理员内置组会列出相关域的域管理员组。
自分配权限以来,用户是否已注销并重新登录工作站?
在目标工作站上打开 lusrmgr.msc(本地用户和组),并确保相关的域组在工作站上具有所需的权限。
为了委派本地工作站管理员权限而将用户添加到域管理员(以及企业管理员)是一种不好的做法。
我强烈建议将您的“ITAdmin”组委托给所有工作站以进行本地管理员访问,并在域管理员中留下尽可能少的用户。
答案2
blaughw 说了什么。
您可能需要研究组策略。具体来说,受限组 - 如果您限制管理员组,此设置会将用户和组添加到管理员组,同时将其他用户和组踢出 - 或包含一行类似以下内容的启动脚本net localgroup administrators yourdomain\ITAdmin /add
。(如果您有其他用户仅在特定计算机上是本地管理员,则您需要使用后者。)