添加到本地管理员的 AD 组在加入域的 PC 上不起作用 - 直接将用户添加到本地管理员可以吗?

添加到本地管理员的 AD 组在加入域的 PC 上不起作用 - 直接将用户添加到本地管理员可以吗?

我对此苦恼不已,我不明白我错过了什么。

我有一位管理员,名字叫 Bob。我已将 Bob 添加到名为“LocalAdmins”的全局安全组。

我们进入加入域的PC(Harry的),将“LocalAdmins”组添加到本地用户和组下的管理员组,然后重新启动。

Bob 尝试在 Harry 的 PC 上安装一些软件,由于 Harry 没有管理员权限,因此软件要求输入凭证,Bob 输入了他的凭证。但不起作用。(还尝试右键单击,以管理员身份运行,结果相同)

我从本地管理员中删除 LocalAdmins 组,并直接添加 Bob。

重启。Bob 可以在 Harry 的电脑上安装软件。

我已经检查过该域是否显示 Bob 属于“LocalAdmins”AD 组:

NET USER bob /域

我已确保在运行“net localgroup Administrators”时显示 LocalAdmins。

这毫无意义。我是不是漏掉了什么?

我没有使用 GPO 或类似的东西来执行此操作,只是手动执行。

域级别是 Win 2003,(我们认为我们正在运行所有 Win 2012 DC)

答案1

太渴望评论了;但要做一个简单的测试;像开始时那样;请将 LocalAdmin 组添加到您的本地管理员组并删除直接的 Bob 条目

在 Harry 计算机上以 Bob 身份登录。发出whoami /groups /fo 列表,让我们知道输出。您应该看到 BUIlTIN/Administrator,如果没有,则;

您的错误让我想起了嵌套组限制/错误,因为从记忆中,使用 GPO(又称受限组策略),您可以绕过该限制。我怀疑您的域级别对此没有帮助。

现存的文献不多,但请参见;

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc776499(v=ws.10)?redirectedfrom=MSDN

或在那里;

https://www.cbfive.com/no-local-group-nestingeven-if-it-looks-like-there-is/

相关内容