Membro do grupo de administradores não replicado

0

Atualmente, minha conta de usuário é membro de Administradores e Administradores de Domínio em uma rede com dois DCs. Nos dois DCs, as alterações nos membros do meu grupo serão replicadas sem problemas. No entanto, se eu fizer logon em um computador membro do domínio, não faço parte dos administradores do grupo.

Tanto quanto eu sei, a adesão ao grupo AD Administradores deve dar-lhe privilégios administrativos em todos os computadores de domínio. O que poderia causar esse erro e como resolvê-lo?

Além disso, se eu fizer um gpresult (mesmo depois de alguns gpupdate 's) no DC, minha associação ao grupo está corretamente listada. Se eu fizer isso nos computadores membros, não é.

TIA, rhavin.

rhavin
fonte

Respostas:

1

O grupo Admins. Do Domínio, por padrão, está no grupo Administradores interno em máquinas membros do domínio. O grupo Administradores em um controlador de domínio concede acesso administrativo ao controlador de domínio e deve ter Admins. Do Domínio como membros do grupo por padrão.

Ao adicionar sua conta ao grupo Admins. Do Domínio em uma configuração padrão, sua conta receberá todos os direitos e privilégios que o grupo Admins. Do Domínio possui. Você não verá sua conta com uma entrada separada no grupo Administradores da máquina membro local. Você deve ver apenas os administradores de domínio, a menos que alguém esteja usando a política de grupo para adicionar outros grupos.

Você pode aprender sobre as especificidades do que cada grupo padrão faz Microsoft TechNet . Os grupos padrão são basicamente os mesmos desde o Server 2003, então este link ainda é útil.

Há várias coisas que podem estar erradas na conectividade de rede ou na imposição de políticas de grupo, portanto, verifique os logs de eventos em busca de erros. Se ele disser alguma coisa sobre não conseguir ver um controlador de domínio, você estará efetuando login com credenciais armazenadas em cache e a máquina não estará reconhecendo a alteração na associação ao grupo.

Depois que todos os problemas de política de grupo e de conectividade de rede tiverem sido removidos, abra um prompt de comando e execute "gpupdate / force" para obter manualmente as atualizações mais recentes da política de grupo e reinicialize a máquina, se necessário. Isso fará com que a máquina local obtenha as configurações corretas do Active Directory que dizem que você é um membro do grupo Admins. Do Domínio.

Para resumir, parece que você está fazendo a coisa certa adicionando a conta aos administradores de domínio. Você não deve ver seu nome como administrador, apenas o grupo AD 'mydomain \ domain admins' na máquina local. Você precisa verificar a conectividade de rede e a política de grupo para erros se ainda não for capaz de executar tarefas administrativas após a reinicialização da máquina local.

cathoo
fonte