機碼的系統管理員群組的好記的名稱並未顯示在 Windows 伺服器 2016

狀況

在 Windows 伺服器 2016,您可以執行 ADPREP /DOMAINPREP 命令,授與存取權有相對的識別元 (RID) (526 和 527 的兩個新安全性原則。這些參考 「 機碼的系統管理員 」 和 「 企業機碼的系統管理員 」 的 「 安全性 」 群組。在這個案例中,526 和 527 Rid 無法解析好記的名稱成直到 Windows 伺服器 2016年的網域控制站擁有網域主控站 (PDC) 的彈性單一主機操作 (FSMO) 角色。

Security properties

此外,這兩個群組會提供讀取寫入存取權,所有子項物件上的 ms DS-金鑰-認證-連結屬性從網域根目錄。

RID 527/企業金鑰 Admins 群組擁有網域命名內容 (NC) 標頭和樹系根網域中所有的附屬物件和所有子網域的完整控制。

Screenshot 2 of the security properties

原因

Windows 伺服器 2016年介紹新的安全性主體。ADPREP /DOMAINPREP 命令定義權限在 Active Directory 資料分割中不同的安全性原則

好記的名稱會顯示針對安全性原則時執行電腦引入部署在 Active Directory 樹系中的關鍵角色的作業系統 (OS) 版本。

有關指派給主要的系統管理員群組的預設權限,目的是要寫入的存取,msdsKeyCredentialLink 屬性,為已經委派即等於網域索引鍵的系統管理員 」 群組擁有的存取該群組。
 

解決方案

若要讓 526 和 527 安全性識別項解析好記的名稱,Windows 伺服器 2016年的網域控制站的 PDC FSMO 角色主機。若要這麼做,您可以為新樹系中的第一個 DC 安裝 Windows 伺服器 2016 DC,或將 PDC FSMO 角色轉移到 Windows 伺服器 2016 DC。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×