Otorgar derechos de administrador de dominio a los miembros del dominio principal

tag-icon tag-icon windows active-directory
Otorgar derechos de administrador de dominio a los miembros del dominio principal

Hemos configurado un dominio secundario y nos gustaría otorgar a los usuarios del dominio principal los mismos derechos en el dominio secundario que se otorgan a los miembros del grupo de administradores de dominio.

Entonces, nuestra configuración se ve así: parent.mycompany.com: dominio principal donde existen todos los usuarios child.mycompany.com: dominio secundario utilizado para el desarrollo

Sé que no podemos agregar usuarios del dominio principal al grupo de administradores de dominio en el dominio secundario porque es un grupo global que no se puede cambiar. ¿Existe alguna manera de crear un grupo de dominio local o universal en el dominio secundario y luego otorgarle a ese grupo los mismos derechos que el grupo de administradores de dominio?

¿O alguna otra forma que me permita otorgarle a un usuario del dominio principal esos derechos en el dominio secundario?

Nota: Todos los controladores de dominio ejecutan WS2008 con el dominio elevado al nivel funcional de WS2008.

gracias, jon

Respuesta1

Puede colocar los usuarios del dominio "principal" en un grupo global en el dominio principal y luego anidar ese grupo global en el grupo local del dominio "Administradores" en el dominio "secundario". Eso le brindará la funcionalidad que está buscando (suponiendo un conjunto estándar de permisos AD en el dominio secundario). Los "Administradores" reciben nombres con los mismos derechos que los "Administradores de dominio" en todos los permisos del AD.

En cuanto a los permisos sobre recursos compartidos y demás que haya creado, ese es su problema. >sonríe<

Editar:

El grupo "BUILTIN\Administrators" en el dominio secundariohacetener los mismos derechos queDirectorio Activocomo grupo "Administradores de dominio" en Active Directory. No estás hablando de derechos sobre Active Directory en tu comentario; estás hablando de un anidamiento de grupos predeterminado que se realiza en elUsuarios locales y gruposen las computadoras de los miembros. Al tipo de cosas que comentaste es a lo que me refiero cuando dije "ese es tu problema". También es fácil de solucionar.

¡Este es un trabajo para la política de "Grupos restringidos"!

Entonces, digamos que desea modificar el comportamiento del grupo local "Administradores" que anida todo el dominio en el dominio secundario.

  • Cree y vincule un GPO en la raíz del dominio secundario (en realidad, primero vincúlelo a una sub-OU con una computadora de prueba y luego, cuando sepa que está funcionando, vincúlelo a la raíz del dominio).
  • En ese GPO, abra "Configuración de la computadora", luego "Configuración de Windows", "Configuración de seguridad" y "Grupos restringidos".
  • Haga clic derecho en "Grupos restringidos" y haga "Agregar grupo".
  • Haga clic en "Examinar" en el cuadro de diálogo "Agregar grupo", escriba "Administradores" (no"Administradores de dominio" o cualquier otra cosa) y haga clic en "Verificar nombre" y "Aceptar". Haga clic en "Aceptar" para cerrar el cuadro de diálogo "Agregar grupo".
  • En el cuadro de diálogo "Propiedades de administradores", haga clic en el botón "Agregar" en la parte superior, al lado del cuadro de lista "Miembros de este grupo".
  • Haga clic en "Examinar" en el cuadro de diálogo "Agregar miembro", escriba "Administradores de dominio" y haga clic en "Verificar nombre" y "Aceptar". En el cuadro de diálogo "Agregar miembro", verá "CHILDDOMAINNETBIOSNAME\Domain Admins" en la lista. Haga clic en Aceptar".
  • En el cuadro de diálogo "Propiedades de administradores", haga clic nuevamente en el botón "Agregar" en la parte superior, al lado del cuadro de lista "Miembros de este grupo".
  • Haga clic en "Examinar" en el cuadro de diálogo "Agregar miembro" e ingrese el nombre del grupo global en el dominio principal que creó para mantener a los usuarios que obtienen derechos de "Administrador" en el dominio secundario. Antes de hacer clic en "Verificar nombre", haga clic en "Ubicaciones", elija su dominio principal en el cuadro de diálogo "Ubicaciones" y haga clic en "Aceptar". Luego haga clic en "Verificar nombre" y "Aceptar". En el cuadro de diálogo "Agregar miembro", verá "PARENTDOMAINNETBIOSNAME\Nombre del grupo que creó" en la lista. Haga clic en Aceptar".

Cuando este GPO se aplica a las computadoras, su grupo local de "Administradores" obtendrá los grupos "CHILDDOMAINNETBIOSNAME\Domain Admins" y "PARENTDOMAINNETBIOSNAME\Group name que creó" anidados automáticamente.

Respuesta2

agregue usuarios en el grupo global y luego ese grupo global en el grupo Universal. Vaya al dominio secundario, agregue usuarios en el grupo de dominio local y luego, en ese grupo de dominio local, agregue el grupo universal del dominio principal.

Significa que el grupo global del dominio principal sería miembro del grupo universal del mismo dominio. Y en el dominio secundario, el grupo de dominio local tendría como miembro al grupo universal (del dominio principal).

Respuesta3

Mi apuesta es que Domain Admins es global a propósito, por lo que no se puede encadenar de un dominio a otro. Lo que hacemos es imitar esto creando un grupo de dominio local en los dominios secundarios (o cualquier otro), agregarle grupos globales principales y luego colocar el dominio local en los lugares donde están los administradores del dominio.

información relacionada