active-directory - 为另一个域打开组策略管理控制台 (gpmc)
问题描述
我正在尝试为另一个域打开一个 gpmc。我们有 2 个 AD 域 A 和 B。它们之间没有信任。我的电脑加入了域 A,我想为域 B 打开一个 gpmc。
对于 DSA(AD 用户和计算机),这似乎是可能的:
runas.exe /netonly /user:<Domain B>\<Domain B User> "mmc dsa.msc /domain=<Domain B>"
但是当我尝试为 gpmc 运行它时,会出现以下错误:
我可能无权访问任何一个域的日志。
解决方案
这按预期工作,不应该工作。GPMC 控制台旨在尝试为域环境的 PDC 获取操作令牌,无论您在何处打开它。因为 PDC(域中的主域控制器角色持有者)应该具有组策略的最新副本(但有时由于复制延迟等原因并非如此)所以当您尝试连接到另一个域的 GPMC 时连接并发送一个未能获得票证的 Kereros 请求(被视为与我上面提到的令牌相同。)。
如果在这两种情况下都进行网络跟踪,您将看到有一个 TGT 请求从域 B 域控制器获取 SPN ldap/(domain A) 的票证,这是不可能的,因为您在域之间没有信任. 这失败了 "KerberosV5:KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN (7)" 。这是您看到访问被拒绝错误的那一刻,如屏幕截图所示。我希望这可以使您的查询更加清晰。