2020-04-06

一、问题： 父域创建的域管理员登录不了子域服务器，子域创建的域管理员登录不了父域服务器？ 二、原因分析： 　　　　父域创建的域管理员是存在父域中，而子域创建的域管理员存在子域中，父域创建的管理员是不存在子域中，　　所以使用父域创建的管理员是无法登录到子域服务器，但有一个用户比较特殊，就是父域服务器的本地管理员　　administrator用户是可以登录到子域服务器，但子域服务器的administrator是登录不了父域服务器。主要原　　因在于主域控服务器(根域)创建时存在一个特殊的组Enterprise Admins，这个域是属于通用组，存在在于GC　　（全局编录），所以整个域或域域林都可以识别到GC上的用户。父域控administrator就隶属于EnterpriseAdmins组　　，而子域控administrator没有这个组的权限。 标注：解决这个问题还需要理解创建组有三种组作用域：本地域、全局、通用三者的区别： 域本地组：本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户，而且只能在域内指派权限。 全局组：全局组的成员可包括只在其中定义该组的域中的其他组和帐户，而且可在林中的任何域中指派权限。 通用组：通用组的成员可包括域树或林中任何域中的其他组和帐户，而且可在该域树或林中的任何域中指派权限。 三、解决办法： 标注：主域控服务器创建一个域用户管理员father测试使用，子域控制服务创建一个域用户管理员son测试使用。 ++++++++++　　　　主域控服务器操作　　　　++++++++++ 1、主域控服务器的本地管理administrator默认已经添加Enterprise Admins组。 2、打开主域AD用户和计算机 ---- 双击已创建好的域管理员father ---- 隶属于 ----- 添加 ---- 位置选择zhuyu.com ----- Enterprise Admins组 ----- 确定。 3、选择确定。 +++++++++　　　　子域控操作步骤　　　　+++++++++ 1、子域控服务器的本地管理administrator默认没有添加Enterprise Admins组。 2、打开子域AD用户和计算机 ---- 双击已创建好的域管理员son ---- 隶属于 ----- 添加 ---- 位置选择zhuyu.com ---- Enterprise Admins组 ----- 确定。 3、选择确定。 测试1：使用子域控创建的son域管理员登录主域控服务器 测试2：使用主域控创建的father域管理员登录子域控服务器