Associação ao grupo de administradores não replicada

Navegue suas respostas
0

Atualmente, minha conta de usuário é membro de Administradores e Administradores de domínio em uma rede com dois DCs. Nos dois DCs, as alterações nos membros do meu grupo serão replicadas sem problemas. No entanto, se eu fizer logon em um computador membro do domínio, não faço parte dos administradores do grupo.

Tanto quanto eu sei, a associação ao grupo AD Administradores deve fornecer privilégios administrativos em todos os computadores de domínio. O que poderia causar esse erro e como resolvê-lo?

Além disso, se eu fizer um gpresult (mesmo após alguns gpupdate ) no DC, minha associação ao grupo será listada corretamente. Se eu fizer isso nos computadores membros, não é.

TIA, rhavin.

    
por rhavin 06.10.2014 / 12:05

1 resposta

1

O grupo Admins. do Domínio, por padrão, está no grupo Administradores interno em máquinas membros do domínio. O grupo Administradores em um controlador de domínio concede acesso administrativo ao controlador de domínio e deve ter Admins. Do Domínio como membro do grupo por padrão.

Ao adicionar sua conta ao grupo Admins. do Domínio em uma configuração padrão, sua conta receberá todos os direitos e privilégios que o grupo Admins. do Domínio possui. Você não verá sua conta com uma entrada separada no grupo Administradores da máquina membro local. Você deve ver apenas os administradores de domínio, a menos que alguém esteja usando a política de grupo para adicionar outros grupos.

Você pode aprender sobre as especificidades do que cada grupo padrão faz a partir de Microsoft TechNet . Os grupos padrão são basicamente os mesmos desde o Server 2003, então esse link ainda é útil.

Há várias coisas que podem estar erradas na conectividade de rede ou na imposição de políticas de grupo, portanto, verifique os logs de eventos em busca de erros. Se ele disser alguma coisa sobre não conseguir ver um controlador de domínio, você estará efetuando login com credenciais armazenadas em cache e a máquina não está reconhecendo a alteração na associação ao grupo.

Depois que todos os problemas de política de grupo e de conectividade de rede forem removidos, abra um prompt de comando e execute "gpupdate / force" para obter manualmente as atualizações mais recentes da política de grupo e reinicialize a máquina, se necessário. Isso fará com que a máquina local obtenha as configurações corretas do Active Directory que dizem que você é um membro do grupo Admins. Do Domínio.

Para resumir, parece que você está fazendo a coisa certa adicionando a conta aos administradores de domínio. Você não deve ver seu nome como administrador, apenas o grupo AD 'mydomain \ domain admins' na máquina local. Você precisa verificar a conectividade de rede e a política de grupo em busca de erros, caso ainda não consiga realizar tarefas administrativas após a reinicialização da máquina local.

    
por 06.10.2014 / 13:03

Tags

Substituindo o comando global no unix Como usar fórmula diferente em caso de erro en?