Wir haben eine untergeordnete Domäne eingerichtet und möchten Benutzern aus der übergeordneten Domäne dieselben Rechte für die untergeordnete Domäne gewähren, die den Mitgliedern der Gruppe „Domänenadministratoren“ gewährt werden.
Unser Setup sieht also folgendermaßen aus: parent.mycompany.com: Primäre Domäne, in der alle Benutzer vorhanden sind child.mycompany.com: Untergeordnete Domäne, die für die Entwicklung verwendet wird
Ich weiß, dass wir keine Benutzer aus der übergeordneten Domäne zur Gruppe der Domänenadministratoren in der untergeordneten Domäne hinzufügen können, da es sich um eine globale Gruppe handelt, die nicht geändert werden kann. Gibt es für mich eine Möglichkeit, eine lokale oder universelle Domänengruppe in der untergeordneten Domäne zu erstellen und dieser Gruppe dann dieselben Rechte wie der Gruppe der Domänenadministratoren zu gewähren?
Oder gibt es eine andere Möglichkeit, mit der ich einem Benutzer der übergeordneten Domäne diese Rechte für die untergeordnete Domäne erteilen könnte?
Hinweis: Auf allen Domänencontrollern wird WS2008 ausgeführt, wobei die Domäne auf die Funktionsebene WS2008 angehoben wurde.
Danke, Jon
Antwort1
Sie können die Benutzer der „übergeordneten“ Domäne in eine globale Gruppe in der übergeordneten Domäne einfügen und diese globale Gruppe dann in die lokale Domänengruppe „Administratoren“ in der „untergeordneten“ Domäne einbetten. Dadurch erhalten Sie die gewünschte Funktionalität (vorausgesetzt, die untergeordnete Domäne verfügt über einen Standardsatz von AD-Berechtigungen). „Administratoren“ werden mit denselben Rechten wie „Domänenadministratoren“ in allen Berechtigungen im AD benannt.
Was die Berechtigungen für Freigaben und Ähnliches angeht, die Sie erstellt haben – das ist Ihr Problem. >smile<
Bearbeiten:
Die Gruppe „BUILTIN\Administrators“ in der untergeordneten Domänetuthaben die gleichen Rechte aufActive Directoryals Gruppe „Domänenadministratoren“ im Active Directory. Sie sprechen in Ihrem Kommentar nicht von Rechten für Active Directory, sondern von einer standardmäßigen Gruppenverschachtelung, die auf demLokale Benutzer und Gruppenauf den Computern der Mitglieder. Die Art von Dingen, die Sie kommentiert haben, meine ich, als ich sagte: „Das ist Ihr Problem.“ Es lässt sich außerdem leicht beheben.
Dies ist ein Job für die Richtlinie „Eingeschränkte Gruppen“!
Nehmen wir also an, Sie möchten das Verhalten der lokalen „Administratoren“-Gruppe domänenweit in der untergeordneten Domäne ändern.
- Erstellen und verknüpfen Sie ein Gruppenrichtlinienobjekt an der Stammadresse der untergeordneten Domäne. (Verknüpfen Sie es zunächst mit einer untergeordneten Organisationseinheit, die einen Testcomputer enthält. Wenn Sie dann sicher sind, dass es funktioniert, verknüpfen Sie es mit der Stammadresse der Domäne.)
- Öffnen Sie in dieser Gruppenrichtlinie „Computereinstellungen“, dann „Windows-Einstellungen“, „Sicherheitseinstellungen“ und „Eingeschränkte Gruppen“.
- Klicken Sie mit der rechten Maustaste auf „Eingeschränkte Gruppen“ und führen Sie die Aktion „Gruppe hinzufügen“ aus.
- Klicken Sie im Dialogfeld „Gruppe hinzufügen“ auf „Durchsuchen“ und geben Sie „Administratoren“ ein (nicht"Domänenadministratoren" oder etwas anderes) und klicken Sie auf "Namen überprüfen" und "OK". Klicken Sie auf "OK", um das Dialogfeld "Gruppe hinzufügen" zu schließen.
- Klicken Sie im Dialogfeld „Administratoreigenschaften“ oben neben dem Listenfeld „Mitglieder dieser Gruppe“ auf die Schaltfläche „Hinzufügen“.
- Klicken Sie im Dialogfeld „Mitglied hinzufügen“ auf „Durchsuchen“, geben Sie „Domänenadministratoren“ ein und klicken Sie auf „Namen überprüfen“ und „OK“. Im Dialogfeld „Mitglied hinzufügen“ wird „CHILDDOMAINNETBIOSNAME\Domänenadministratoren“ aufgeführt. Klicken Sie auf „OK“.
- Klicken Sie im Dialogfeld „Administratoreigenschaften“ oben neben dem Listenfeld „Mitglieder dieser Gruppe“ erneut auf die Schaltfläche „Hinzufügen“.
- Klicken Sie im Dialogfeld „Mitglied hinzufügen“ auf „Durchsuchen“ und geben Sie den Namen der globalen Gruppe in der übergeordneten Domäne ein, die Sie erstellt haben, um Benutzer aufzunehmen, die in der untergeordneten Domäne „Administratorrechte“ erhalten. Bevor Sie auf „Name überprüfen“ klicken, klicken Sie auf „Standorte“, wählen Sie im Dialogfeld „Standorte“ Ihre übergeordnete Domäne aus und klicken Sie auf „OK“. Klicken Sie dann auf „Name überprüfen“ und „OK“. Im Dialogfeld „Mitglied hinzufügen“ wird „PARENTDOMAINNETBIOSNAME\Gruppenname, den Sie erstellt haben“ aufgeführt. Klicken Sie auf „OK“.
Wenn diese GPO auf Computer angewendet wird, werden in deren lokale Gruppe „Administratoren“ automatisch die Gruppen „CHILDDOMAINNETBIOSNAME\Domänenadministratoren“ und „PARENTDOMAINNETBIOSNAME\Von Ihnen erstellter Gruppenname“ eingebettet.
Antwort2
Fügen Sie Benutzer zur globalen Gruppe und dann diese globale Gruppe zur universellen Gruppe hinzu. Gehen Sie zur untergeordneten Domäne, fügen Sie Benutzer zur lokalen Domänengruppe hinzu und fügen Sie dann in dieser lokalen Domänengruppe die universelle Gruppe aus der übergeordneten Domäne hinzu.
Bedeutet, dass die globale Gruppe aus der übergeordneten Domäne ein Mitglied der universellen Gruppe aus derselben Domäne wäre. Und in der untergeordneten Domäne hätte die lokale Domänengruppe eine universelle Gruppe (aus der übergeordneten Domäne) als Mitglied.
Antwort3
Ich wette, dass Domänenadministratoren absichtlich global sind, sodass Sie nicht von Domäne zu Domäne verketten können. Wir ahmen dies nach, indem wir eine domänenlokale Gruppe in der/den untergeordneten (oder einer anderen) Domäne(n) erstellen, übergeordnete globale Gruppen hinzufügen und dann die domänenlokale Gruppe an Stellen platzieren, an denen sich Domänenadministratoren befinden.