我在 Windows Server 2012 R2 上有 1 个 DC 和 1 个域管理员帐户。DC 上的管理员失去了所有权限。如果我使用我的域管理员帐户进行远程连接,我可以推送组策略。当我使用 DC 上的管理员帐户连接并尝试推送组策略时,出现Access Denied错误。
答案1
管理员应为“域管理员”的成员。检查域管理员的所有成员是否都具有“AdminCount”,这表示他们具有 AdminSDHolder,它会定期重置受保护组的权限。域管理员中的所有用户都应具有 AdminCount。
Get-ADGroupMember -Identity "Domain Admins" | Get-ADUser -Properties AdminCount | Select-Object -Property Name,AdminCount