一、问题: 父域创建的域管理员登录不了子域服务器,子域创建的域管理员登录不了父域服务器? 二、原因分析: 父域创建的域管理员是存在父域中,而子域创建的域管理员存在子域中,父域创建的管理员是不存在子域中, 所以使用父域创建的管理员是无法登录到子域服务器,但有一个用户比较特殊,就是父域服务器的本地管理员 administrator用户是可以登录到子域服务器,但子域服务器的administrator是登录不了父域服务器。主要原 因在于主域控服务器(根域)创建时存在一个特殊的组Enterprise Admins,这个域是属于通用组,存在在于GC (全局编录),所以整个域或域域林都可以识别到GC上的用户。父域控administrator就隶属于EnterpriseAdmins组 ,而子域控administrator没有这个组的权限。 标注:解决这个问题还需要理解创建组有三种组作用域:本地域、全局、通用三者的区别: 域本地组:本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户,而且只能在域内指派权限。 全局组:全局组的成员可包括只在其中定义该组的域中的其他组和帐户,而且可在林中的任何域中指派权限。 通用组:通用组的成员可包括域树或林中任何域中的其他组和帐户,而且可在该域树或林中的任何域中指派权限。 三、解决办法: 标注:主域控服务器创建一个域用户管理员father测试使用,子域控制服务创建一个域用户管理员son测试使用。 ++++++++++ 主域控服务器操作 ++++++++++ 1、主域控服务器的本地管理administrator默认已经添加Enterprise Admins组。 2、打开主域AD用户和计算机 ---- 双击已创建好的域管理员father ---- 隶属于 ----- 添加 ---- 位置选择zhuyu.com ----- Enterprise Admins组 ----- 确定。 3、选择确定。 +++++++++ 子域控操作步骤 +++++++++ 1、子域控服务器的本地管理administrator默认没有添加Enterprise Admins组。 2、打开子域AD用户和计算机 ---- 双击已创建好的域管理员son ---- 隶属于 ----- 添加 ---- 位置选择zhuyu.com ---- Enterprise Admins组 ----- 确定。 3、选择确定。 测试1:使用子域控创建的son域管理员登录主域控服务器 测试2:使用主域控创建的father域管理员登录子域控服务器
2020-04-06
最新推荐文章于 2021-06-19 15:19:54 发布