这是一个2000年的function级别的域名:( 🙁 🙁 *
我在域A中有一个域本地安全组,其中包含来自域B的一个用户和来自域A的几个用户。
在域A的服务器上,我可以通过“net localgroup”将本地域的本地组添加到本地机器pipe理员组中,但是,在这样做之后,我注意到该组的成员没有被赋予本地pipe理员权限(可以“远程login等)。
当我通过计算机pipe理gui看本地组时,我可以看到域本地组。 我试图通过gui删除并添加它,但是,无法find域本地组。 我可以看到所有的全球组织,但没有任何本地域名。
我search,找不到任何表明这不应该工作。
我应该能够将域本地安全组添加到本地计算机pipe理员组? 如果是这样,为什么我不能使用组pipe理GUIfind对象?
工作站SAM在许多方面都起作用,例如具有单向信任关系的独立域。 所以,虽然我找不到明确logging,但我不觉得这是行不通的,因为它类似于将域本地组从一个域添加到另一个域的域本地组中, 允许 (见表7-1)。
(唯一奇怪的是,如果域是Windows 2003的function级别,它似乎工作,我也找不到这种变化logging)。
无论如何,您应该能够通过将域本地组更改为通用组来解决您的问题。 假设您至less运行Windows 2000本机模式而不是Windows 2000混合模式,则支持通用组,并且它们是专门为此类场景devise的。
我有一个类似的问题:我可以添加一个域本地组到一个域成员本地组(例如“净本地组pipe理员/添加NameOfDomainLocalGroup”),但成员资格不显示(例如在输出“networking本地组pipe理员“),并且会员资格不生效。
我将原因追踪到克隆同一操作系统映像(Server 2008 R2)中的域控制器和域成员,而没有sysprep步骤。 (重复SID)
在域成员上运行sysprep并将其重新添加到域后,所有的都没问题:)
查看微软的AGDLPdevise最佳实践。 您的帐户应该进入全局组,并且您的全局组应该进入域本地组。 然后,您将权限分配给域本地组。
所以在你的情况下,创build一个名为“ServerX本地pipe理员”的DL组,并将其添加到服务器上的本地pipe理员组。 使用有意义的代表名称创build一个全局组,并将域B中的帐户添加到该组。 然后,将该组添加到DL组。