1

У меня есть Windows Server 2008 AD domain , с двумя контроллерами домена, один с Windows Server 2008 , другой с Windows Server 2008 R2 . Второе - главный ДЦ.

Я хотел бы создать пользователя, который является local administrator первого контроллера домена (windows server 2008), но не может получить доступ, например, к общей папке другого контроллера домена, или использовать учетную запись для входа с помощью mstsc on другой член DC, поэтому он не должен быть domain administrator .

Это возможно?

|источник

1 ответ1

2

На контроллере домена нет такого понятия, как локальный пользователь, только пользователи домена.

Когда вы продвигаете компьютер на DC, он копирует всех пользователей из локальной SAM в домен и перестает использовать SAM.

Локальный SAM все еще существует, но используется только в режиме восстановления служб каталогов.

Возможно, вы захотите сделать что-то вроде обычного пользователя, ограничить возможности входа в систему только этой машиной, а затем делегировать задания AD, которые им могут понадобиться (добавить пользователей, разблокировать учетные записи и т.д.).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .