Я рву на этом за волосы и не понимаю, чего мне не хватает.
У меня есть администратор по имени Боб. Я добавил Боба в глобальную группу безопасности LocalAdmins.
Мы переходим к ПК (Гарри), который присоединен к домену, добавляем группу «LocalAdmins» в группу «Администраторы» в разделе «Локальные пользователи и группы» и перезагружаемся.
Боб пытается установить какое-то программное обеспечение на компьютер Гарри, он запрашивает учетные данные, поскольку у Гарри нет прав администратора, и Боб вводит свои учетные данные. Это не работает. (также попробовал щелкнуть правой кнопкой мыши, запустить от имени администратора, тот же результат)
Я удаляю группу LocalAdmins из группы Local Admins и добавляю Боба напрямую.
Перезагрузка. Боб может установить программное обеспечение на компьютер Гарри.
Я проверил, что в домене Боб входит в группу AD LocalAdmins с помощью:
ЧИСТЫЙ ПОЛЬЗОВАТЕЛЬ боб / домен
Я убедился, что LocalAdmins появляется, когда я запускаю "net localgroup Administrators".
В этом нет никакого смысла. Что-то мне не хватает?
Я не использую для этого GPO или что-то подобное, просто делаю это вручную.
Уровень домена - Win 2003 (думал, что у нас работают все контроллеры домена Win 2012)
Жаждать комментария; но сделать простой тест; Сделайте как в начале; добавьте группы LocalAdmin в свою группу Local Admin и удалите прямую запись Боба
Войдите в систему как Боб на компьютере Гарри. Выпустить список whoami / groups / fo, сообщите нам результат. Вы должны увидеть BUIlTIN / Administrator, если нет, то;
Ваша ошибка напоминает мне об ограничении / ошибке вложенной группы, так как из памяти с помощью GPO, также известной как ограниченная групповая политика, вы можете обойти это ограничение. Я подозреваю, что уровень вашего домена нам не поможет.
До сих пор существует не так много документации, но посмотрите ее;
или там;
https://www.cbfive.com/no-local-group-nestingeven-if-it-looks-like-there-is/