左域，重新join，现在域pipe理员权限被打破

标题基本概括了所有内容…

该域位于客户VM（Essentials 2012 R2）上，我已将其joinHyper-V 2012 R2主机。 由于不适合在此讨论的原因，最近我暂时切换回工作站模式。 现在，我已经重新join了域名，但是我发现我无法使用域pipe理员凭据（服务MMC，磁盘pipe理等）远程访问基本服务。 我没有改变任何防火墙规则（只有一个小时左右）。

事实上，我甚至无法导航到它的UNCpath或任何共享（例如\\ SERVER1）。 我得到这个着名的错误：

• bash：/ etc / hosts：权限被拒绝
• 权限重置？
• 将OpenOffice作为Daemontools服务运行，而不是拾取用户
• 将NT Domain / AD用户或桌面限制为对所有共享文件夹的只读访问
• 如何撤销只有特定OU中的用户的更改密码权限？

我可以使用域pipe理员凭据进入RDP。 我已经使用net localgroup administrators命令来validation域pipe理员确实在本地pipe理员组中。

我离开域名之前怎么回到我的位置？ 一切都很顺利 – 我pipe理磁盘分区，本地用户和组，虚拟机设置…你的名字。 我是否必须删除并重新创build主机上的域pipe理员configuration文件？ 是在那里寻找“旧”帐户（这实际上是相同的帐户）？

编辑 提供add'l疑难解答信息

（为了更好地反映这个话题，我已经调整了一些标签，因为我对这个问题的本质的理解发展了。）

根据Mark的build议，我删除并重新创build了\\ SERVER1上的Domain Adminconfiguration文件，如他链接的文章中所述。 为了额外的措施，为了安全起见，我再次进行了离开/重新join – 这次请注意删除\\ SERVER1（我忽略了第一次）的旧AD对象。

仍然没有运气。 我在所有工作站上有\\ SERVER1上的所有function，但不是从PDC上。

思考我可能有某种SIDcaching问题正在进行，我转向PsGetSID 。 看起来域成员有两个SID：1）它的机器SID和2）它的域SID（ 在这里引用）。 这是我在\\ SERVER1上运行时得到的结果：

不知道如何处理…

但无论如何 – 我正在缩小一点。 显然，PDC认为在\\ SERVER1上禁用了域pipe理员帐户。

这在PDC上时，并浏览W /文件资源pipe理器：

当试图连接W / MMC的事件查看器时：

所以这里有一个共同的线索。 我只是不知道如何弄清楚它是什么或如何解决它。

更新：

我为第二个SID使用了错误的PsGetSID语法（你应该排除前面的反斜杠，并使用计算机名称，然后是$）。 现在我可以看到域SID与AD中显示的相同。 所以至less这种可能性被消除了。