none
是否可以将父域的普通用户加为子域Domain admins 组 RRS feed

答案

  • 不能將父域的普通用戶添加到子域的 "domain admins",但可以將父域的普通用戶添加到子域 DC 的本地管理員組,這樣變通實現添加到 "domain admins" 需求。

    但你使用該用戶在執行 dsquery user 等操作時,需要使用 -d 參數指明子域名稱.


    Folding@Home

    2014年7月1日 12:23

全部回复

  • 不能將父域的普通用戶添加到子域的 "domain admins",但可以將父域的普通用戶添加到子域 DC 的本地管理員組,這樣變通實現添加到 "domain admins" 需求。

    但你使用該用戶在執行 dsquery user 等操作時,需要使用 -d 參數指明子域名稱.


    Folding@Home

    2014年7月1日 12:23
  • 你好,感谢你的回复。

    子域DC 还有的本地管理員組 ? 难道还能使用本地管理员进行登录吗 ? 你说的方法具体如何实现,盼回复  。

    2014年7月9日 6:02
  • 執行命令

    net localgroup administrators "parentdomain/username" /add

    將用戶加入到 DC 的 Administrators 組是賦予其管理員權限,登錄還是作爲域用戶進行登錄。

    另外平時在添加域用戶,且需要將某些用戶添加到客戶端的 Administrators 組操作時, 要注意不要直接將用戶添加到 administrators, 這樣實際上是將該用戶設置爲域管理員。

    檢查方法可以通過進行

    REM 1. 在 DC 查看所有隸屬于 Administrators 組的成員
    net localgroup administrators

    REM 2. 查看單一用戶的組信息

    net user username /domain

    看其 "本地組成員" 是否有 Administrators 組。如果有且是不希望存在的,要及時移除。

    正確將普通用戶添加到客戶端的 Administrators 組,需要通過新建 GPO, 然後通過脚本或 "限制用戶組" 進行,最後還需要注意不要將這個 GPO 應用到服務器上。


    Folding@Home

    2014年7月9日 12:14
  • 感谢您的用心回复,我想弄清楚一个概念,子域DC具有本地管理员组吗 ?可以使用本地管理员登录 ?  父域DC是否也是具有本地管理员组的 ?
    2014年7月14日 6:28