Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga rozwiązać błędy odmowy dostępu występujące po zalogowaniu się do konta domeny administratora lokalnego.
Dotyczy: Windows Server 2019, Windows Server 2016
Oryginalny numer KB: 2738746
Symptomy
Rozważmy następujący scenariusz:
- Utworzysz konto administratora lokalnego na komputerze z systemem operacyjnym Windows Server 2003 lub nowszym.
- Zaloguj się przy użyciu konta administratora lokalnego zamiast wbudowanego konta administratora, a następnie skonfiguruj serwer jako pierwszy kontroler domeny w nowej domenie lub lesie. Zgodnie z oczekiwaniami to konto lokalne staje się kontem domeny.
- To konto domeny służy do logowania.
- Próbujesz wykonać różne operacje domena usługi Active Directory Services (AD DS).
W tym scenariuszu otrzymujesz błędy odmowy dostępu.
Przyczyna
Podczas konfigurowania pierwszego kontrolera domeny w lesie lub nowej domenie konto lokalne użytkownika jest konwertowane na podmiot zabezpieczeń domeny i jest dodawane do pasujących wbudowanych grup domeny, takich jak Użytkownicy i Administratorzy. Ponieważ nie ma wbudowanych lokalnych administratorów schematu, administratorów domeny lub grup Administratorzy przedsiębiorstwa, te członkostwa nie są aktualizowane w grupach domen i nie są dodawane do grupy Administratorzy domeny.
Rozwiązanie
Aby obejść to zachowanie, użyj narzędzia Dsa.msc, Dsac.exe lub modułu środowiska Windows PowerShell usługi Active Directory, aby w razie potrzeby dodać użytkownika do grup Administratorzy domeny i Administratorzy przedsiębiorstwa. Nie zalecamy dodawania użytkownika do grupy Administratorzy schematu, chyba że obecnie wykonujesz uaktualnienie schematu lub modyfikację.
Po wylogowaniu się, a następnie zalogowaniu się ponownie zmiany członkostwa w grupie zostaną zastosowane.
Więcej informacji
To zachowanie jest oczekiwane i jest zgodnie z projektem.
Chociaż to zachowanie zawsze było obecne w usługach AD DS, ulepszone procedury zabezpieczeń w sieciach biznesowych uwidoczniły zachowanie klientów, którzy przestrzegają najlepszych rozwiązań firmy Microsoft dotyczących korzystania z wbudowanego konta administratora.
Wbudowane konto administratora zapewnia, że co najmniej jeden użytkownik ma pełne członkostwo w grupie administracyjnej w nowym lesie.