Active Directory ドメイン D1 で、いくつかのタスクを委任するための特定のグループを作成しています。この特定のグループの 1 つは、すべての管理権限をユーザーに付与するための「ドメイン管理者」のメンバーです。
IT 管理者アカウントは、必要に応じて特定のグループのメンバーになります。これらのユーザーは複数の AD ドメイン (D2、D3...) を管理する必要があるため、D1 のアカウントを D2、D3... で有効にする可能性について考えました。
ドメイン管理者を除くすべての委任グループに対して、これらの権限付与を行うことができました。D2 または D3 のこのグループは「グローバル」グループであり、別のドメインのユニバーサル グループをそのメンバーにすることはできません。
これはActive Directoryのグループスコープの考え方に依存していることはわかっています(http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx) しかし、誰かがこの問題の回避策を見つけたかどうか疑問に思います。
アップデートつまり、それは不可能ですが、「BUILTIN\Administrators」と GPO/GPP を使用して、これらのアカウントに「ドメイン管理者」と同じ権限を与えることはできますか? それとも、これらのアカウントには、常にドメイン管理者だけが実行できるタスクが与えられるのでしょうか?
答え1
求めていることは実行できません。あるドメインのユーザーを別のドメインの「Builtin\Administrators」グループに追加して、そのドメイン内のすべてのドメイン コントローラーを管理できるようにすることはできますが、これは、ドメインのすべてのメンバーに対して暗黙の管理者権限を提供するドメイン管理者を付与することと同じではありません。
これは通常、次の 2 つの方法のいずれかで実現されます。
各管理者には、管理する必要があるドメインごとに 1 つのドメイン管理者アカウントがあります。
「ホーム」ドメインの管理者アカウントが Builtin\Administrators グループに追加され、GPP グループ設定の GPO 制限グループを介してすべてのドメイン メンバーのローカル管理者になります。
おっしゃるとおり、グローバル グループには自身のドメインのセキュリティ プリンシパルのみを含めることができ、ドメイン管理者のグループ スコープを変更することはできません。
編集内容に対処するには、その時点で Domain Admins グループと同様の権限を持つことになります。