В настоящее время моя учетная запись является членом группы « Администраторы» и « Администраторы домена» в сети с двумя контроллерами домена. На обоих DC изменения в моем членстве в группе будут реплицированы без проблем. Однако, если я захожу на компьютер члена домена, я не являюсь частью администраторов группы.

Насколько я знаю, членство в группе администраторов AD должно дать вам права администратора на каждом компьютере домена. Что может вызвать эту ошибку и как ее решить?

Кроме того, если я делаю gpresult (даже после некоторых gpupdate ) на DC, членство в моей группе будет правильно указано. Если я делаю это на компьютерах-участниках, это не так.

ТИА, Равин.

|источник

1 ответ1

1

Группа «Администраторы домена» по умолчанию находится во встроенной группе «Администраторы» на компьютерах, входящих в домен. Группа «Администраторы» на контроллере домена предоставляет административный доступ к контроллеру домена и должна иметь администраторов домена в качестве члена группы по умолчанию.

При добавлении вашей учетной записи в группу «Администраторы домена» в стандартной конфигурации вашей учетной записи будут предоставлены все права и привилегии, которыми обладает группа «Администраторы домена». Вы не увидите свою учетную запись с отдельной записью в группе администраторов локального компьютера-участника. Вы должны просто увидеть администраторов домена, если кто-то не использует групповую политику для добавления дополнительных групп.

Вы можете узнать об особенностях каждой группы по умолчанию в Microsoft TechNet. Группы по умолчанию в основном были такими же, как в Server 2003, поэтому эта ссылка по-прежнему полезна.

Есть ряд вещей, которые могут быть неправильными при подключении к сети или применении групповой политики, поэтому посмотрите на журналы событий на наличие ошибок. Если в нем говорится о невозможности увидеть контроллер домена, то вы входите в систему с кэшированными учетными данными, и компьютер не распознает изменения в членстве в группе.

После устранения проблем с групповой политикой и сетевым подключением откройте командную строку и запустите «gpupdate /force», чтобы вручную получить все последние обновления групповой политики, и при необходимости перезагрузите компьютер. Это гарантирует, что локальный компьютер получает правильные настройки из Active Directory, которые говорят, что вы являетесь членом группы администраторов домена.

Подводя итог, кажется, что вы делаете правильные вещи, добавляя учетную запись к администраторам домена. Вы не должны видеть свое имя как администратор, просто группа AD 'mydomain\domain admins' на локальном компьютере. Необходимо проверить сетевое подключение и групповую политику на наличие ошибок, если вы все еще не можете выполнять административные задачи после перезагрузки локального компьютера.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .