为另一个域打开组策略管理控制台 (gpmc)
Open Group Policy Management Console (gpmc) for Another Domain
我正在尝试为另一个域打开 gpmc。我们有 2 个 AD 域 A 和 B。它们之间没有信任关系。我的电脑加入了域 A,我想为域 B 打开一个 gpmc。
对于 DSA(AD 用户和计算机),这似乎是可能的:
runas.exe /netonly /user:<Domain B>\<Domain B User> "mmc dsa.msc /domain=<Domain B>"
但是当我尝试 运行 gpmc 时出现以下错误:
我可能无权访问任一域的日志。
这按预期工作,但不应该工作。 GPMC 控制台旨在尝试获取域环境 PDC 的操作令牌,无论您在何处打开它。因为 PDC(域中的主域控制器角色持有者)应该具有组策略的最新副本(但有时由于延迟复制而并非如此等等) 因此,当您尝试连接到另一个域的 GPMC 时,它会连接并发送一个 Kereros 请求,该请求未能获得票证( 被视为与我上面提到的令牌相同。) .
如果您在这两种情况下都进行网络跟踪,您会看到有一个 TGT 请求从域 B 域控制器获取 SPN ldap/(域 A)的票证,这是不可能的,因为您没有在域之间建立信任。这失败了 "KerberosV5:KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN (7)" 。这是您看到访问被拒绝错误的那一刻,如屏幕截图所示。我希望这能让您的查询更加清晰。
已经有一段时间了,但在一位同事的帮助下,我们找到了解决方案。 GPMC 有一个名为信任检测的选项(查看 -> 选项 -> 常规)。
禁用此选项后,必须关闭 GPMC 才能保存此选项。如果您随后通过
启动 GPMC
runas.exe /netonly /user:<Domain B>\<Domain B User> "mmc gpmc.msc /domain=<Domain B>"
可以添加域 B 中的林,您可以像往常一样配置 GPO。
我正在尝试为另一个域打开 gpmc。我们有 2 个 AD 域 A 和 B。它们之间没有信任关系。我的电脑加入了域 A,我想为域 B 打开一个 gpmc。
对于 DSA(AD 用户和计算机),这似乎是可能的:
runas.exe /netonly /user:<Domain B>\<Domain B User> "mmc dsa.msc /domain=<Domain B>"
但是当我尝试 运行 gpmc 时出现以下错误:
我可能无权访问任一域的日志。
这按预期工作,但不应该工作。 GPMC 控制台旨在尝试获取域环境 PDC 的操作令牌,无论您在何处打开它。因为 PDC(域中的主域控制器角色持有者)应该具有组策略的最新副本(但有时由于延迟复制而并非如此等等) 因此,当您尝试连接到另一个域的 GPMC 时,它会连接并发送一个 Kereros 请求,该请求未能获得票证( 被视为与我上面提到的令牌相同。) .
如果您在这两种情况下都进行网络跟踪,您会看到有一个 TGT 请求从域 B 域控制器获取 SPN ldap/(域 A)的票证,这是不可能的,因为您没有在域之间建立信任。这失败了 "KerberosV5:KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN (7)" 。这是您看到访问被拒绝错误的那一刻,如屏幕截图所示。我希望这能让您的查询更加清晰。
已经有一段时间了,但在一位同事的帮助下,我们找到了解决方案。 GPMC 有一个名为信任检测的选项(查看 -> 选项 -> 常规)。
禁用此选项后,必须关闭 GPMC 才能保存此选项。如果您随后通过
启动 GPMCrunas.exe /netonly /user:<Domain B>\<Domain B User> "mmc gpmc.msc /domain=<Domain B>"
可以添加域 B 中的林,您可以像往常一样配置 GPO。