一、問題:
父域創建的域管理員登錄不了子域服務器,子域創建的域管理員登錄不了父域服務器?
二、原因分析:
父域創建的域管理員是存在父域中,而子域創建的域管理員存在子域中,父域創建的管理員是不存在子域中,
所以使用父域創建的管理員是無法登錄到子域服務器,但有一個用戶比較特殊,就是父域服務器的本地管理員
administrator用戶是可以登錄到子域服務器,但子域服務器的administrator是登錄不了父域服務器。主要原
因在於主域控服務器(根域)創建時存在一個特殊的組Enterprise Admins,這個域是屬於通用組,存在在於GC
(全局編錄),所以整個域或域域林都可以識別到GC上的用戶。父域控administrator就隸屬於EnterpriseAdmins組
,而子域控administrator沒有這個組的權限。
標注:解決這個問題還需要理解創建組有三種組作用域:本地域、全局、通用三者的區別:
域本地組:本地域組的成員可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他組和帳戶,而且只能在域內指派權限。
全局組:全局組的成員可包括只在其中定義該組的域中的其他組和帳戶,而且可在林中的任何域中指派權限。
通用組:通用組的成員可包括域樹或林中任何域中的其他組和帳戶,而且可在該域樹或林中的任何域中指派權限。
三、解決辦法:
標注:主域控服務器創建一個域用戶管理員father測試使用,子域控制服務創建一個域用戶管理員son測試使用。
++++++++++ 主域控服務器操作 ++++++++++
1、主域控服務器的本地管理administrator默認已經添加Enterprise Admins組。
2、打開主域AD用戶和計算機 ---- 雙擊已創建好的域管理員father ---- 隸屬於 ----- 添加 ---- 位置選擇zhuyu.com ----- Enterprise Admins組 ----- 確定。
3、選擇確定。
+++++++++ 子域控操作步驟 +++++++++
1、子域控服務器的本地管理administrator默認沒有添加Enterprise Admins組。
2、打開子域AD用戶和計算機 ---- 雙擊已創建好的域管理員son ---- 隸屬於 ----- 添加 ---- 位置選擇zhuyu.com ---- Enterprise Admins組 ----- 確定。
3、選擇確定。
測試1:使用子域控創建的son域管理員登錄主域控服務器
測試2:使用主域控創建的father域管理員登錄子域控服務器。
