Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает устранить ошибки, возникающие после входа в учетную запись домена локального администратора.
Область применения: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 2738746
Симптомы
Рассмотрим следующий сценарий:
- Вы создаете учетную запись локального администратора на компьютере под управлением операционной системы Windows Server 2003 или более поздней версии.
- Вы входите в систему с помощью учетной записи локального администратора вместо встроенной учетной записи администратора, а затем настраиваете сервер на первый контроллер домена в новом домене или лесу. Как ожидается, эта локальная учетная запись становится учетной записью домена.
- Эта учетная запись домена используется для входа.
- Вы пытаетесь выполнить различные операции домен Active Directory Services (AD DS).
В этом сценарии вы получаете ошибки, отказано в доступе.
Причина
При настройке первого контроллера домена в лесу или новом домене локальная учетная запись пользователя преобразуется в субъект безопасности домена и добавляется в соответствующие встроенные группы домена, такие как пользователи и администраторы. Так как в группах доменов нет встроенных локальных администраторов схемы, администраторов домена или групп корпоративных администраторов, эти члены не обновляются в группах доменов и не добавляются в группу администраторов домена.
Обходное решение
Чтобы обойти это поведение, используйте dsa.msc, Dsac.exe или модуль Active Directory Windows PowerShell, чтобы добавить пользователя в группы администраторов домена и корпоративных администраторов по мере необходимости. Не рекомендуется добавлять пользователя в группу администраторов схемы, если в настоящее время вы не выполняете обновление или изменение схемы.
После выхода из системы и обратного входа изменения членства в группе вступают в силу.
Дополнительная информация
Это поведение ожидается и по проектированию.
Хотя это поведение всегда присутствовало в AD DS, улучшенные процедуры безопасности в бизнес-сетях предоставили клиентам, которые следуют рекомендациям Майкрософт по использованию встроенной учетной записи администратора.
Встроенная учетная запись администратора гарантирует, что по крайней мере один пользователь имеет полное членство в группе администрирования в новом лесу.