我有两个 AD,其中存在双向信任关系(森林和传递)。受信任域是 trust1.com 和 trust2.com。
我使用受信任域 (trust1.com) 的管理员凭据在 trust2.com 中创建了一个 AD 用户 (TEST1)。但我无法使用 trust1.com 的管理员凭据将计算机用户名从 TEST1 重命名为 TEST2。
我看到 ldap_rename 给出了用户访问权限不足的错误。这里的困惑是用户可以使用受信任域凭据添加,但无法重命名。
Parameters passed to ldap_rename function is
int ldap_rename_s( ld, dn, newrdn, newparent, deleteoldrdn, sctrls[], cctrls[] );
dn : CN=TEST1,CN=Computers,DC=trust2,DC=com
newrdn: cn=TEST2
newparent: CN=Computers,dc=trust2,dc=com
deleteoldrdn = 1
在执行此操作之前我还需要做其他事情吗?
答案1
Active Directory 域的标准安全设置允许所有经过身份验证的用户添加新计算机,而您需要成为管理员(或具有特定的访问权限)才能重命名或删除计算机。
看起来您在 trust1.com 中的管理员帐户在 trust2.com 中没有任何管理权限,因此它被视为标准用户:它可以向域中添加新计算机,但不能管理现有的计算机(包括自己创建的计算机)。
这确实很正常,因为域信任本身不允许一个域的管理员管理另一个域,反之亦然;为了实现这一点,您必须向 trust1.com 的用户或组授予 trust2.com 的管理员权限,可以明确授予(使用 ACL),也可以将他们放在管理员域本地组中。