这是新的域控制器。我创建了用户并创建了一个名为“本地管理员”的安全组。用户是该组的成员。我创建了一个域组策略,并使用“受限组”策略将“本地管理员”组添加到客户端的管理员组(计算机配置 > 策略 > 安全设置 > 受限组 > 新建 > 本地管理员 > 成员 > 管理员)
奇怪的是,当这些用户登录客户端时,他们可以访问 \server_name\c$(管理员共享)。当我从本地管理员组中删除用户时,访问被拒绝。
为什么客户端管理员可以访问这些共享?还是我做错了什么?
答案1
您的组策略授予用户对服务器的本地管理员权限,因为默认域策略适用于该服务器,除非您进行了其他更改,但看起来您没有。
最佳实践 - 保留默认策略(或至少不要添加任何内容)。
为设置组创建一个策略,因此在这种情况下,您可以制定一个“本地安全组”组策略并将其配置为添加您希望本地添加的任何组。
解决您当前的问题。
1) 找到服务器在 Active Directory 域中的位置(它位于哪个 OU)。2
) 删除对默认域策略所做的更改
3) 在服务器的同一 OU 中创建新策略,并将设置添加到这个新的 GPO。科技网
4)执行 gpupdate 并测试访问。
关于步骤 3,还有其他方法可以定位 GPO,但这是迄今为止最简单的方法,特别是如果你刚开始管理它们