親ドメインメンバーにドメイン管理者権限を付与する

tag-icon tag-icon windows active-directory
親ドメインメンバーにドメイン管理者権限を付与する

子ドメインをセットアップし、親ドメインのユーザーに、Domain Admins グループのメンバーに付与されているのと同じ権限を子ドメインで付与したいと考えています。

したがって、設定は次のようになります: parent.mycompany.com: すべてのユーザーが存在するプライマリドメイン child.mycompany.com: 開発用に使用される子ドメイン

子ドメインの Domain Admins グループは変更できないグローバル グループであるため、親ドメインのユーザーを子ドメインの Domain Admins グループに追加できないことはわかっています。子ドメインにドメイン ローカル グループまたはユニバーサル グループを作成し、そのグループに Domain Admins グループと同じ権限を付与する方法はありますか?

または、親ドメインのユーザーに子ドメインの権限を付与できる他の方法はありますか?

注: すべてのドメイン コントローラーは、ドメインが WS2008 機能レベルに昇格された状態で WS2008 を実行しています。

ありがとう、ジョン

答え1

「親」ドメインのユーザーを親ドメインのグローバル グループに配置し、そのグローバル グループを「子」ドメインの「Administrators」ドメイン ローカル グループにネストすることができます。これにより、必要な機能が提供されます (子ドメインに AD 権限のストック セットがあることを前提としています)。「Administrators」は、AD のすべての権限において「Domain Admins」と同じ権限で名前が付けられます。

あなたが作成した共有などの権限に関しては、それはあなたの問題です。>smile<

編集:

子ドメインの「BUILTIN\Administrators」グループする同じ権利を持つアクティブディレクトリActive Directoryの「Domain Admins」グループとして。あなたのコメントでは、Active Directoryの権限について話しているのではなく、Active Directoryで実行されるデフォルトのグループネストについて話しているのです。ローカルユーザーとグループメンバーのコンピューターで。あなたがコメントしたようなことこそ、私が「それはあなたの問題です」と言ったときに意味していたことです。これは簡単に解決できる問題でもあります。

これは「制限されたグループ」ポリシーの対象となる仕事です。

そこで、子ドメイン内のドメイン全体にネストされているローカルの「Administrators」グループの動作を変更したいとします。

  • 子ドメインのルートに GPO を作成してリンクします (実際には、最初にテスト コンピューターを含むサブ OU にリンクし、動作していることがわかったら、ドメインのルートにリンクします)。
  • その GPO で、「コンピューターの設定」を開き、「Windows の設定」、「セキュリティの設定」、「制限されたグループ」の順に開きます。
  • 「制限されたグループ」を右クリックし、「グループの追加」を実行します。
  • 「グループの追加」ダイアログで「参照」をクリックし、「管理者」と入力します(ないユーザー名 (「Domain Admins」など) を入力し、「名前の確認」と「OK」をクリックします。「OK」をクリックして、「グループの追加」ダイアログを閉じます。
  • 「管理者のプロパティ」ダイアログで、「このグループのメンバー」リスト ボックスの横にある上部の「追加」ボタンをクリックします。
  • 「メンバーの追加」ダイアログで「参照」をクリックし、「Domain Admins」と入力して、「名前の確認」と「OK」をクリックします。「メンバーの追加」ダイアログに、「CHILDDOMAINNETBIOSNAME\Domain Admins」がリストされます。「OK」をクリックします。
  • 「管理者のプロパティ」ダイアログで、上部の「このグループのメンバー」リスト ボックスの横にある「追加」ボタンをもう一度クリックします。
  • 「メンバーの追加」ダイアログで「参照」をクリックし、子ドメインで「管理者」権限を取得するユーザーを保持するために作成した親ドメインのグローバル グループの名前を入力します。「名前の確認」をクリックする前に、「場所」をクリックし、「場所」ダイアログで親ドメインを選択して「OK」をクリックします。次に、「名前の確認」と「OK」をクリックします。「メンバーの追加」ダイアログに、「PARENTDOMAINNETBIOSNAME\作成したグループ名」がリストされます。「OK」をクリックします。

この GPO がコンピューターに適用されると、ローカルの「Administrators」グループに「CHILDDOMAINNETBIOSNAME\Domain Admins」および「PARENTDOMAINNETBIOSNAME\作成したグループ名」が自動的にネストされます。

答え2

グローバル グループにユーザーを追加し、そのグローバル グループをユニバーサル グループに追加します。子ドメインに移動して、ローカル ドメイン グループにユーザーを追加し、そのローカル ドメイン グループに親ドメインからユニバーサル グループを追加します。

つまり、親ドメインのグローバル グループは同じドメインのユニバーサル グループのメンバーになります。また、子ドメインでは、ローカル ドメイン グループがユニバーサル グループ (親ドメインから) をメンバーとして持つことになります。

答え3

私の推測では、Domain Admins は意図的にグローバルになっているため、ドメインからドメインへチェーンすることはできません。私たちが行っているのは、子 (または他の) ドメインにドメイン ローカル グループを作成し、それに親のグローバル グループを追加して、ドメイン ローカルをドメイン管理者の場所に配置することでこれを模倣することです。

関連情報