![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
12341235251413
锁定的问题。 此问题已从 Microsoft 支持社区迁移。 你可投票决定它是否有用,但不能添加评论或回复,也不能关注问题。 为了保护隐私,对于已迁移的问题,用户个人资料是匿名的。
周先生,您好:
感谢您联系微软客户支持。根据您提供的信息,您在使用dcpromo命令提升域控制器时遇到了权限问题。这可能是由于缺少所需的权限或信任委派设置不正确所致。
为了解决这个问题,您可以尝试以下步骤:
希望这些步骤能够帮助您解决问题。如果您需要进一步的帮助,请随时联系我们。
此致
敬礼!
我是先将Server加入ix.com,然后使用IX\Administrator登陆Server,提升域控制器的。其他账户的话,是要求加入Domain Admins和Adminstrators吧?
周先生,您好:
是的,如果您使用其他帐户提升域控制器,该帐户需要是域管理员组和本地管理员组的成员。这将确保该帐户具有足够的权限来执行此操作。另外,请确保您的域管理员帐户和其他帐户的密码是强密码,并且定期更改密码以确保安全性。如果您有任何其他问题,请随时联系我们。
此致
敬礼!
确认权限是足够的,因为用其他账户加入了Administrators组,登陆服务器后,在提升域控制器时第一个环节就报错了
做了如下操作:
(1)Administrator登陆IX-DC01服务器上,在本地安全策略、用户权限分配那里,设置了信任计算机和用户账户可以执行委派,指定为Administrators。
(2)检查IX-DC01服务器上Administrators用户组包含域Administrator和本地Administrator。
(3)在FSMO操作主机HX-DC01上,对Administrator设置委派,“为信任此用户作为任何服务的委派(仅Kerberos)”。
继续事件日志,每次提升域控制器报错后,都会有这条ID1168事件的错误
参考类似报错的方案(https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/identity/access-denied-create-ntds-settings-object),确认Administrators具有“添加/删除副本”权限。
但一直报错第一个图片,看看还有其他办法吗?
周先生,您好:
对于事件1168,我们提出了以下选项来解决此问题
将 ms-ds-krbTGT-Link 值添加回KRBTGT_RODC帐户,事件停止出现。
参考链接:
多个 DC 记录事件 1168 内部错误的情况:发生 Active Directory 域服务错误 - Microsoft 社区中心
此致
敬礼!
