我对此苦恼不已,我不明白我错过了什么。
我有一位管理员,名字叫 Bob。我已将 Bob 添加到名为“LocalAdmins”的全局安全组。
我们进入加入域的PC(Harry的),将“LocalAdmins”组添加到本地用户和组下的管理员组,然后重新启动。
Bob 尝试在 Harry 的 PC 上安装一些软件,由于 Harry 没有管理员权限,因此软件要求输入凭证,Bob 输入了他的凭证。但不起作用。(还尝试右键单击,以管理员身份运行,结果相同)
我从本地管理员中删除 LocalAdmins 组,并直接添加 Bob。
重启。Bob 可以在 Harry 的电脑上安装软件。
我已经检查过该域是否显示 Bob 属于“LocalAdmins”AD 组:
NET USER bob /域
我已确保在运行“net localgroup Administrators”时显示 LocalAdmins。
这毫无意义。我是不是漏掉了什么?
我没有使用 GPO 或类似的东西来执行此操作,只是手动执行。
域级别是 Win 2003,(我们认为我们正在运行所有 Win 2012 DC)
答案1
太渴望评论了;但要做一个简单的测试;像开始时那样;请将 LocalAdmin 组添加到您的本地管理员组并删除直接的 Bob 条目
在 Harry 计算机上以 Bob 身份登录。发出whoami /groups /fo 列表,让我们知道输出。您应该看到 BUIlTIN/Administrator,如果没有,则;
您的错误让我想起了嵌套组限制/错误,因为从记忆中,使用 GPO(又称受限组策略),您可以绕过该限制。我怀疑您的域级别对此没有帮助。
现存的文献不多,但请参见;
或在那里;
https://www.cbfive.com/no-local-group-nestingeven-if-it-looks-like-there-is/