none
无法通过嵌套的组来获取administrators的权限 RRS feed

  • 问题

  • Hi  All. 

    1,我在AD里面创建了一个local admin 的group,并且添加了域用户aliufr;

    2,创建了一个GPO以添加local admin到client的administrators,重启电脑后用aliufr登录电脑;

    我发现如果是第一次用aliufr登录这个电脑,那么aliufr是可以获得administrators的权限的;但是如果在添加aliufr到local admin组之前有登录过这个电脑,那么在添加aliufr到local admin组后再次登录电脑却依然无法获取administrators的权限。 

    Server: Windows2008 R2

    Client : Win7 Professional 

    检查了下域环境内的其他设置,并无冲突的项。 难道这种组的嵌套有问题?  

    先谢了~

    2014年6月4日 5:58

答案

  • 你好!

    这个问题确实有点奇怪,请尝试以下方法做进一步排查:

    1.  我想确认aliufr在client登录后没有管理员权限表现在哪儿,比如像因为访问文件出现权限错误,请提供相关详细信息。

    2.  因为问题出现在aliufr在应用GPO之前登录过client,你可以尝试用其他有管理员权限的账户登录client,然后在client上删除aliufr的登录记录:控制面板--用户账号--管理用户账号,然后选中aliufr并删除,再尝试用aliufr登录。

    希望能有所帮助。

    2014年6月6日 1:45
    版主
  • 1, aliufr登录后无法修改UAC,无法安装输入法等常用软件;

    2, 实际上,该GPO是很早之前就已经部署了的,只不过是最近才添加的aliufr到local admin组里面。

    删除aliufr的user profile并且clear registry,倒是有效。不过不太理解这个怎么解释。

    GPO刷新的时候应该已经正确添加了local admin组到client上的administrators组里面。

    我不确定是不是AD环境下client上的组的嵌套是不是有问题。

    不管怎样,非常感谢你的回复!~

    2014年6月6日 3:02

全部回复

  • 不知具體的是實現方法是通過啟動腳本, 還是通過 "受限制組" ?

    如果只使用了其中一種方法, 可以換用另一種方法來進行測試.

    此外似乎某些安全軟件可能導致嵌套組不能獲得管理員權限.


    Folding@Home

    2014年6月4日 11:06
  • 我们使用的是SEP,应该不会导致这种情况。


    2014年6月5日 2:14
  • 你好!

    我建议你查看策略应用是否成功:

    请先尝试用local admin账户登录,然后检查aliufr账号是否已添加进client的Adminstrators的组里面,用户aliufr是否获得管理员的权限。

    如果可以的话,请尝试重启client,然后尝试登录。

    希望能有所帮助!

    2014年6月5日 10:13
    版主
  • 多谢回复。

    不过local admin是AD上的一个group,但是已经通过GPO添加到了client上的administrators组里面。-----

    通过检查组local admin的成员,发现用户账户aliufr确认已经添加进local admin组里面了。

    我的理解:GPO是OK的,否则的话local admin组不会被添加到client上的administrators组里面。但是现在的问题是如果aliufr已经登录过client1(之前并未将aliufr添加到local admin里面),我再在AD上添加aliufr到local admin组,然后重启client1再重新用aliufr登录,发现用户aliufr依然无法得到client1上的管理员权限。若此时用aliufr登录另一台client2(此前aliufr并未在client2上登录过),那么aliufr是可以得到client2上的管理员权限的。

    何解?

    2014年6月6日 0:36
  • 你好!

    这个问题确实有点奇怪,请尝试以下方法做进一步排查:

    1.  我想确认aliufr在client登录后没有管理员权限表现在哪儿,比如像因为访问文件出现权限错误,请提供相关详细信息。

    2.  因为问题出现在aliufr在应用GPO之前登录过client,你可以尝试用其他有管理员权限的账户登录client,然后在client上删除aliufr的登录记录:控制面板--用户账号--管理用户账号,然后选中aliufr并删除,再尝试用aliufr登录。

    希望能有所帮助。

    2014年6月6日 1:45
    版主
  • 1, aliufr登录后无法修改UAC,无法安装输入法等常用软件;

    2, 实际上,该GPO是很早之前就已经部署了的,只不过是最近才添加的aliufr到local admin组里面。

    删除aliufr的user profile并且clear registry,倒是有效。不过不太理解这个怎么解释。

    GPO刷新的时候应该已经正确添加了local admin组到client上的administrators组里面。

    我不确定是不是AD环境下client上的组的嵌套是不是有问题。

    不管怎样,非常感谢你的回复!~

    2014年6月6日 3:02