本文有助于解决登录到本地管理员域帐户后出现的访问被拒绝错误。
适用于: Windows Server 2019、Windows Server 2016
原始 KB 数: 2738746
现象
假设出现了下面这种情景:
在运行 Windows Server 2003 或更高版本操作系统的计算机上创建本地管理员帐户。
使用本地管理员帐户而不是内置管理员帐户登录,然后将服务器配置为新域或林中的第一个域控制器。 按预期,此本地帐户将成为域帐户。
使用此域帐户登录。
尝试执行各种Active Directory 域服务(AD DS)操作。
在此方案中,你会收到访问被拒绝错误。
原因
在林或新域中配置第一个域控制器时,用户的本地帐户将转换为域安全主体,并将其添加到匹配的域内置组,例如用户和管理员。 由于没有内置的本地架构管理员、域管理员或企业管理员组,因此这些成员身份不会在域组中更新,并且不会添加到域管理员组。
解决方法
若要解决此问题,请使用 Dsa.msc、Dsac.exe 或 Active Directory Windows PowerShell 模块根据需要将用户添加到域管理员和企业管理员组。 除非你当前正在执行架构升级或修改,否则不建议将用户添加到架构管理员组。
注销并重新登录后,组成员身份更改将生效。
详细信息
此行为是预期行为,是按设计进行的。
尽管 AD DS 中一直存在此行为,但业务网络中改进的安全过程已向遵循Microsoft使用内置管理员帐户的最佳做法的客户公开了该行为。
内置管理员帐户可确保至少有一个用户在新林中具有完全管理组成员身份。