内容发布更新时间 : 2024/5/3 20:48:31星期一 下面是文章的全部内容请认真阅读。

利用新用户账户登录域控

除了域Administrators等少数组内的成员外，其他一般域账户默认无法登陆到域控上，除非另外开放。

赋予用户在域控登录权限

一般用户必须在域控上拥有允许本地登录的权限，才能在域控上登录。此权限可以用过组策略来开放。

系统管理工具-组策略管理

计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录，然后将用户或组加入到列表内

组策略配置完成需要应用到域控才有效，应用方法有三种：

将域控制器重启

等域控制器自动应用此策略，可能需要等待5分钟或更久 手动应用：到域控制器上运行gpupdate或gpupdate\\force 多台域控制器的情况

如果域内有多台域控制器，则设置的安全设置值，先被存储到PDC操作主机角色的域控制器内，默认由第一台域控制器扮演。

Active Directory用户和计算机-选择contoso.com右键操作主机

需要等待设置值从PDC操作主机复制到其他域控制器后，他们才会应用这些设置值。什么时候应用分两种情况：

自动复制：PDC操作主机默认15秒后悔自动将其复制出去，因此其他域控制器可能需要等15秒或更久才能接受到此设置值。

手动复制：到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机，DC2是需要接收的域控

如果是组策略设置，则他先辈存储在PDC操作主机内，但如果Active Directory用户账户或其他对象有改动，则这些改动会先被存储在所连接的域控制器，同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。

如果要查询目前连接的域控制器，可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso，他就会显示所连接的域控制器。如果要更改连接其他控制器，单击更改域控制器。