嘿，针对你遇到的这两个问题，我来给你梳理下解决方案：

关于添加用户到Administrators组时的访问被拒问题 #

当你尝试添加用户到管理员组时出现Access is denied（访问被拒绝），而放开域配置文件的出站连接就恢复正常，这说明域环境下的AD操作被防火墙拦截了。你需要确保域配置文件的防火墙允许以下AD相关的出站规则和端口：

• 必备防火墙规则：直接启用系统内置的「域控制器 - LDAP 出站」「域控制器 - SMB 出站」规则，或者手动创建允许目标为域控制器的LDAP、SMB相关出站流量规则
• 需要开放的核心端口：
  • LDAP：默认389端口（非加密）和636端口（LDAPS加密），AD用户权限操作主要依赖这个协议
  • SMB：445端口，用于域内身份验证和资源共享的关键通信
  • RPC动态端口：如果你的防火墙限制严格，可配置AD使用固定RPC端口（不过更省心的方式是直接启用内置的AD相关规则）

简单来说，最快的解决方式就是在防火墙的域配置文件里，启用所有和Active Directory、域控制器相关的内置出站规则，这样就能覆盖AD操作所需的全部通信需求，不用逐个手动开端口。

关于重启虚拟机后网络位置从域变专用的问题 #

这个现象通常是因为虚拟机重启后，客户端无法及时联系到域控制器完成身份验证，导致系统自动切换网络位置。你可以试试这些方法：

1. 检查虚拟机网络配置：确保虚拟机网卡绑定的是对应域网络的虚拟交换机，IP地址优先用静态配置或者DHCP分配稳定的地址
2. 调整组策略设置：运行gpedit.msc打开本地组策略，找到「计算机配置 > 管理模板 > 网络 > 网络连接 > Windows Defender防火墙 > 域配置文件」，确保必要的入站规则（比如远程桌面例外）开启，同时检查「网络位置感知」相关设置，让系统优先尝试域控制器验证
3. 重启相关服务：虚拟机重启后，手动重启「Network Location Awareness」服务（服务名：NlaSvc），有时候能帮助系统重新识别域网络环境

如果还是不行，记得检查域控制器的DNS服务是否正常，客户端的DNS设置是否指向域控制器——DNS解析失败是导致系统无法识别域环境的常见原因。

备注：内容来源于stack exchange，提问作者Majkl