您会收到访问被拒绝错误后登录到本地管理员域帐户

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 2738746
症状
请考虑以下情形:
  • 这运行下列操作系统之一的计算机上创建一个本地管理员帐户:
    • Windows 2012 Server
    • Windows Server 2008 R2
    • Windows 2008 Server
    • Windows 2003 Server
  • 使用本地管理员帐户,而不内置的管理员帐户登录,然后将服务器配置为将新域或目录林中的第一个域控制器。像预期的那样,此本地帐户成为域帐户。
  • 您可以使用此域帐户登录。
  • 您尝试执行各种 活动目录(AD) 域服务 (AD DS) 操作。

在此方案中,您将收到访问被拒绝错误。
原因
在第一个域控制器配置目录林或新域中时,用户的本地帐户转换为域的安全主体,并添加到匹配的域的内置组,如用户和管理员。由于没有内置的本地架构管理员、 域管理员或企业管理员组,这些成员则不会更新在域组中,并且您不会添加到域管理员组。
替代方法
若要解决此问题,请使用 Dsa.msc、 Dsac.exe 或活动目录 Windows PowerShell 模块将用户添加到域管理员和企业管理员组,根据需要。我们不建议用户添加到架构管理员组,除非您当前执行架构升级或修改。

注销,然后重新登录后,组成员身份的更改将会生效。
更多信息
这种现象在预料之中,是设计使然。

尽管一直在 AD DS 中存在这种现象,在企业网络中的改进的安全性过程已公开遵循 Microsoft 最佳做法,使用内置管理员帐户的客户的行为。

内置管理员帐户可以确保至少一个用户已经在新林中的完全管理组成员身份。

警告:本文已自动翻译

属性

文章 ID:2738746 - 上次审阅时间:09/19/2012 17:55:00 - 修订版本: 1.0

Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 Service Pack 2

  • kbmt KB2738746 KbMtzh
反馈