一、问题：

 

 

父域创建的域管理员登录不了子域服务器，子域创建的域管理员登录不了父域服务器？

 

 

 

 

 

 

 

二、原因分析：

 

　　　　父域创建的域管理员是存在父域中，而子域创建的域管理员存在子域中，父域创建的管理员是不存在子域中，

　　所以使用父域创建的管理员是无法登录到子域服务器，但有一个用户比较特殊，就是父域服务器的本地管理员

　　administrator用户是可以登录到子域服务器，但子域服务器的administrator是登录不了父域服务器。主要原

　　因在于主域控服务器(根域)创建时存在一个特殊的组Enterprise Admins，这个域是属于通用组，存在在于GC

　　（全局编录），所以整个域或域域林都可以识别到GC上的用户。父域控administrator就隶属于EnterpriseAdmins组

　　，而子域控administrator没有这个组的权限。

 

 

 

 

标注：解决这个问题还需要理解创建组有三种组作用域：本地域、全局、通用三者的区别：

 

域本地组：本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户，而且只能在域内指派权限。

 

全局组：全局组的成员可包括只在其中定义该组的域中的其他组和帐户，而且可在林中的任何域中指派权限。

 

通用组：通用组的成员可包括域树或林中任何域中的其他组和帐户，而且可在该域树或林中的任何域中指派权限。

 

 

 

 

 

 

 

 

 

 

 

三、解决办法：

 

标注：主域控服务器创建一个域用户管理员father测试使用，子域控制服务创建一个域用户管理员son测试使用。

 

 

 

 

++++++++++　　　　主域控服务器操作　　　　++++++++++

 

 

1、主域控服务器的本地管理administrator默认已经添加Enterprise Admins组。

 

 

 

 

 

2、打开主域AD用户和计算机 ---- 双击已创建好的域管理员father  ----  隶属于 ----- 添加  ----  位置选择zhuyu.com  -----   Enterprise Admins组   -----  确定。

 

 

 

 

 

3、选择确定。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

+++++++++　　　　子域控操作步骤　　　　+++++++++

 

 

1、子域控服务器的本地管理administrator默认没有添加Enterprise Admins组。

 

 

 

 

 

2、打开子域AD用户和计算机 ---- 双击已创建好的域管理员son  ----  隶属于 ----- 添加  ---- 位置选择zhuyu.com  ----  Enterprise Admins组   -----  确定。

 

 

 

 

 

3、选择确定。

 

 

 

 

 

 

 

测试1：使用子域控创建的son域管理员登录主域控服务器

 

 

 

 

 

 

测试2：使用主域控创建的father域管理员登录子域控服务器。