Não é possível adicionar o grupo de segurança local de domínio ao grupo de administradores da máquina local - Windows Active Directory

Navegue suas respostas
2

este é um domínio de nível funcional de 2000 :( :( :( *

Eu tenho um grupo de segurança local de domínio no domínio A que contém 1 usuário de um domínio B e vários do domínio A.

Em um servidor no domínio A, posso adicionar este grupo local de domínio ao grupo de administradores de máquinas locais via 'net localgroup', no entanto, depois de fazer isso, percebo que os membros desse grupo não estão recebendo permissões de administrador local (não pode fazer login remoto, etc).

Quando eu olho para grupos locais através do computador mgmt gui eu posso ver o grupo local do domínio. Eu tentei excluir e adicionar de volta através do gui, no entanto, o grupo local de domínio não pode ser encontrado. Eu posso ver todos os grupos globais, mas não qualquer domínio local.

Eu pesquisei e não consigo encontrar nada que indique que isso não funcione.

Devo adicionar um grupo de segurança local de domínio a um grupo de administradores de máquina local? Em caso afirmativo, por que eu não seria capaz de encontrar o objeto usando o gui de gerenciamento de grupo?

    
por jhayes 20.10.2011 / 23:09

3 respostas

0

Os SAMs da estação de trabalho atuam de várias maneiras como domínios separados com uma relação de confiança unidirecional. Portanto, embora não seja possível encontrá-lo explicitamente documentado, não acho surpreendente que isso não funcione, pois é análogo adicionar um grupo local de domínio de um domínio a um grupo local de domínio de outro domínio, que não é permitido (consulte a tabela 7-1).

(A única coisa estranha é que parece funcionar se o domínio é o nível funcional do Windows 2003, e não consigo encontrar essa alteração documentada.)

Em qualquer caso, você deve conseguir resolver seu problema alterando o grupo local do domínio em um grupo universal. Supondo que você esteja pelo menos executando no modo nativo do Windows 2000 e não no modo misto do Windows 2000, os grupos universais são suportados e são projetados especificamente para esse tipo de cenário.

    
por 23.10.2011 / 00:35
1

Eu tive um problema semelhante: eu poderia adicionar um grupo local de domínio a um grupo local em um membro do domínio (por exemplo, "net localgroup administrators / add NameOfDomainLocalGroup") mas a associação não foi exibida (por exemplo, na saída de " net localgroup administrators ") e os membros não entraram em vigor.

Rastreei a causa até ter clonado o controlador de domínio e o membro do domínio da mesma imagem do SO (Server 2008 R2) sem uma etapa do sysprep. (SIDs duplicados)

Depois de executar o sysprep no membro do domínio e adicioná-lo novamente ao domínio, tudo ficou bem:)

    
por 02.06.2015 / 07:37
0

Procure a prática recomendada de design AGDLP da Microsoft. Suas contas devem entrar em grupos globais e seus grupos globais devem entrar em grupos locais de domínio. Em seguida, você atribui permissões a grupos locais de domínio.

Portanto, no seu caso, crie um grupo de DL chamado "ServerX Local Admins" e adicione-o ao grupo Administradores local no servidor. Crie um grupo global com um nome representativo significativo e adicione a conta do domínio B a esse grupo. Em seguida, adicione esse grupo ao grupo DL.

    
por 21.10.2011 / 02:46

Tags

Como posso configurar meu asterisco para trabalhar com o meetme O postfix trava na mensagem de rejeição do postini 571