Я разработчик, который настраивает виртуальную доменную среду для тестирования, и у меня возникли проблемы с настройкой.
Я создал новый DC в новом лесу ... назовите его dev.contoso.com. Я настроил виртуальную внутреннюю сеть для всех машин, которые будут находиться вне этой виртуальной тестовой среды, и присвоил каждой машине статический IP-адрес в подсети 192.169.150.0. Я добавил machine1.dev.contoso.com в домен dev.contoso.com. Я также создал учетную запись пользователя (adminuser) в домене и сделал этого пользователя членом группы администраторов домена.
После входа в machine1 с использованием моей недавно созданной учетной записи администратора домена я не могу получить доступ / запустить какие-либо файлы на machine1. Когда я перехожу к расширенным разрешениям для папки c: \ и свойств goto -> Вкладка Безопасность -> Дополнительно -> Действующие разрешения и ищу dev \ adminuser (упомянутый выше), я получаю сообщение об ошибке:
Windows не может рассчитать эффективные разрешения для пользователя с правами администратора
Что мне нужно сделать, чтобы получить права администратора на Machine1? Я использую Server 2008 R2 как для контроллера AD, так и для machine1.
Хорошо, проиграв все это несколько раз, я внимательно смотрел журналы после каждого шага. Это выявило проблему с SID, а потом меня осенило! Когда вы клонируете контроллер домена, мне нужен другой SID. Эта статья Миф о машинном дублировании SID Марк Руссинович заявляет, что вам больше не нужен NewSid. Это правда, если судить по статье, которую я прочитал некоторое время назад. Однако это не применимо, если вы работаете с AD DC, о чем свидетельствуют некоторые комментарии к этой статье.
Итак, после восстановления новой виртуальной машины с Server 2008 (вместо клонирования исходного базового VHD с Server 2008). Все работает как положено.
Похоже, что групповая политика пользователей не применяется. Есть ли журнал регистрации ошибки? Вы уверены, что настроили групповую политику для подразделения, частью которого является этот компьютер?
@ SMOAK Похоже, он входит в домен, так как его учетная запись не работает на локальном компьютере. Если только у него нет локального и доменного пользователя с тем же именем пользователя и паролем.
ИЗМЕНИТЬ / ДОБАВИТЬ
Похоже, они вытягивают групповую политику из домена, а не из виртуального домена.
Перейдите в AD в подразделении, содержащем компьютеры, щелкните правой кнопкой мыши подразделение, затем перейдите в свойства и выберите вкладку «Групповая политика». Добавьте туда свою групповую политику. Групповые политики применяются снизу вверх и перекрывают друг друга.