我被 Windows AD 域上的权限问题难住了。
我有一个 Windows Server 2008 服务器(带有几个 Windows Server 2003 vm),它们都是域的成员(但绝不是备份控制器等 - 这是通过另一台服务器处理的)。其中一些服务器需要由通常只有域用户权限的人管理,所以我创建了一个新组 (VMAdmins),将它们添加到其中并开始构建一个特定的 GPO 以应用于机器。
出于组策略和整洁的原因,VM 位于它们自己的 OU 中,我创建了一个链接到该特定 OU 的 GPO。
我已经在计算机配置>Windows 设置>安全设置>本地策略>用户权限分配下为上述组分配了各种权限来测试理论。
我有 gpupdate /force 并退回服务器并运行 rsop.msc 以确定应用的策略。该工具正确显示在“源 GPO”下应用的 GPO,并且该组被列为具有该权限。
然而,问题的症结所在;
whoami /priv 与 rsop.msc 所说的不一致,例如 rsop 表示用户具有 Shutdown 权限,但在 whoami 下却显示“已禁用”。
谁能阐明为什么会发生这种情况?
非常感谢,
汤姆
whoami /priv 显示特权的当前状态,而不是实际特权。您将使用域帐户的“管理员”看到相同的内容。当您实际执行此操作时,它会“启用”。
一个很好的解释在这里: http ://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAPrivilege.html
从那里引用:
是否启用了环回处理?
您是否将安全过滤应用于正确的对象/用户/组?