想请教各位前辈,我有一个网域管理员群组(Administrators)权限的帐号A,在一次重开机之后,原本不需要提权执行的程式,却都变成全部都要提升本机权限(本机管理员)才能执行。有什么原因可能造成这样?我要怎么让这个帐号重新拥有网域管理员的权限?
1、近期没有做windows更新2、10月初有做树系、网域等级的提升3、有重加退群组了
3 个回答
- 旧至新
- 新至旧
- 最高Like数
0
雷伊
iT邦高手 1 级 ‧ 2024-11-11 18:03:00
1.帐号A未在 Domain Admin群组成员中或是本机Administrator群组中未有Domain Admin群组.
2.检查GPO看一下是哪个同事动了群组原则
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
-
1 -
-
snackshih
iT邦新手 4 级 ‧
2024-11-12 07:47:36
- 报告~帐号A隶属的网域管理员群组Administrators的成员,他还需要是Domain Admins群组成员吗?
- 同事近期也没变动过GPO…。
- 昨天有问了一下GPT,我在命令模式下whoami /groups,帐号A隶属的Administrators群组,在属性是:「仅用于拒绝的群组」,过去没注意过,所以不太确定是不是以前就这个属性。唯一能知道的只有在重新启动server后,帐号A就没办法正常执行程式…。
修改
0
sam0407
iT邦大师 1 级 ‧ 2024-11-12 10:15:27
之前有邦友问过类似的问题,您可以参考看看。
在最后一位kevinhuang大的回答中,我看到一句话(斜体加粗部份)觉得可能是关键:
Domain Admin ==> 此为一个安全属性的群组,在Active Directory环境中,它拥有针对该拥有的网域中的所有物件的完全控制的权限,预设会被加入到该网域中所有电脑中的本机的Administratore管理群组中。
在看邦友讨论的过程中,我也在想微软为什么在网域中有分Administrators及Domain Admins这两个群组,权限都非常大,分别要应用在什么情境?刚好看到了这句话,推论Administrators是用于DC管理上,而Domain Admins用于Client端管理用。
怎么验证我的推论正不正确?原PO您可以将A帐号加入Domain Admins群组中,再重新登入试试看~~
-
2 -
-
snackshih
iT邦新手 4 级 ‧
2024-11-12 17:24:25
加入Domain Admins的确是可以解决问题,昨天在建立好环境后,有验证过了,但我比较在意的是,过去一直都是网域administrators群组的成员,也都一直有管理员的权限,为什么在重启电脑后,就没有管理员权限了…。
修改
sam0407
iT邦大师 1 级 ‧
2024-11-13 09:17:01
如果说加入Domain Admins可以解决问题,表示我的推论没错。
在微软的预设设定就是:
Administrators是让我们在管理DC用的
Domain Admins是让我们管理Client及Member Server用的
所以您现在的情形才是正常的,至于之前为何权限不正常?只能猜是不是微软发现了这个Bug,在某次更新中有作修正,而您重开机后才生效~~
修改
0
setsuna
iT邦新手 1 级 ‧ 2024-11-13 11:29:06
你在该Server上执行程式时需要提权就代表你登入的帐号没有本机管理者或本机管理者群组的权限。
而用户端加入网域后本机管理者群组里除了原本的本机administrator帐号外还会自动加入Domain Admins群组,也就是说你用"本机administrator"跟"Domain Admins群组"登入时不需要提权执行程式。
即使你的网域帐号A在"网域administrators群组"里,在该Server上使用网域帐号A登入依旧无法取得本机管理者的权限(除非网域帐号A或"网域administrators群组"同时也存在"Domain Admins群组"里)。
我猜想可能的情形有二
- 该Server上本机管理者群组里有手动加入过网域帐号A或是网域帐号A或所属的"网域administrators群组",但后来不知为什么被移除或降级至其他本机群组。
- 网域帐号A或所属的"网域administrators群组"本来有加入"Domain Admins群组",但不知为何被移出"Domain Admins群组"