In einer Active Directory-Domäne D1 erstelle ich spezielle Gruppen, um bestimmte Aufgaben zu delegieren. Eine dieser speziellen Gruppen ist nur Mitglied der „Domänenadministratoren“, um den Leuten alle Verwaltungsrechte zu geben.
IT-Administratorkonten werden dann je nach Bedarf Mitglied einer bestimmten Gruppe. Diese Personen müssen mehrere AD-Domänen (D2, D3...) verwalten, daher habe ich über die Möglichkeit nachgedacht, Konten von D1 auf D2, D3... freizugeben.
Ich habe es geschafft, diese Anpassungen für alle Delegationsgruppen vorzunehmen, mit Ausnahme der Domänenadministratoren. Diese Gruppe in D2 oder D3 ist eine „globale“ Gruppe und ich kann keine universelle Gruppe aus einer anderen Domäne zu ihrem Mitglied machen.
Ich weiß, dass es von der Idee des Gruppenumfangs in Active Directory abhängt (siehehttp://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx), aber ich frage mich, ob jemand eine Problemumgehung für dieses Problem gefunden hat.
aktualisierenEs ist also nicht möglich, aber kann ich diesen Konten mithilfe von „BUILTIN\Administrators“ und GPO/GPP dieselben Befugnisse erteilen wie „Domänenadministratoren“? Oder werden sie immer Aufgaben haben, die nur ein Domänenadministrator ausführen kann?
Antwort1
Sie können nicht tun, was Sie verlangen. Benutzer aus einer Domäne können zur Gruppe „Builtin\Administrators“ einer anderen Domäne hinzugefügt werden, wodurch sie alle Domänencontroller in dieser Domäne verwalten können. Dies ist jedoch nicht dasselbe wie ihnen den Domänenadministratorstatus zuzuweisen, der implizite Administratorrechte für alle Mitglieder der Domäne gewährt.
Dies wird normalerweise auf eine der beiden Arten erreicht:
Jeder Administrator hat ein Domänenadministratorkonto pro Domäne, das er verwalten muss.
Ihr Administratorkonto aus ihrer „Home“-Domäne wird der Gruppe „Builtin\Administrators“ hinzugefügt und über GPO-eingeschränkte Gruppen der GPP-Gruppeneinstellungen zum lokalen Administrator auf allen Domänenmitgliedern gemacht.
Wie Sie gesagt haben, können globale Gruppen nur Sicherheitsprinzipale aus ihrer eigenen Domäne enthalten und der Gruppenumfang des Domänenadministrators kann nicht geändert werden.
Um auf Ihre Änderungen einzugehen: Sie verfügen zu diesem Zeitpunkt über ähnliche Berechtigungen wie die Gruppe der Domänenadministratoren.