En un dominio D1 de Active Directory, estoy creando grupos específicos para delegar algunas tareas. Uno de estos grupos específicos es simplemente miembro de "Administradores de dominio" para otorgar a las personas todos los poderes de gestión.
Las cuentas de administrador de TI serán miembros del grupo específico según la necesidad. Estas personas necesitan administrar múltiples dominios AD (D2, D3...), así que pensé en la posibilidad de habilitar cuentas de D1 en D2, D3...
Logré realizar estas habilitaciones para todos los grupos de delegación, excepto para Administradores de Dominio. Este grupo en D2 o D3 es un grupo "global" y no puedo hacer que un grupo universal de otro dominio sea miembro de él.
Sé que depende de esta idea del alcance de los grupos en Active Directory (verhttp://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx) pero me pregunto si alguien ha encontrado una solución a este problema.
actualizarEntonces, no es posible, pero usando "BUILTIN\Administrators" y GPO/GPP, ¿puedo darle a estas cuentas el mismo poder que a los "Administradores de dominio"? ¿O siempre tendrán tareas que sólo un administrador de dominio podría realizar?
Respuesta1
No puedes hacer lo que estás pidiendo. Los usuarios de un dominio se pueden agregar al grupo "Builtin\Administrators" de otro dominio, lo que les permitirá administrar todos los controladores de dominio en ese dominio, pero esto no es lo mismo que darles administrador de dominio, que proporciona derechos de administrador implícitos. en todos los miembros del dominio.
Por lo general, esto se logra de dos maneras:
Cada administrador tiene una cuenta de administrador de dominio por dominio que debe administrar.
Su cuenta de administrador de su dominio "inicial" se agrega al grupo Incorporado\Administradores y se convierte en administrador local en todos los miembros del dominio a través de grupos restringidos de GPO de las preferencias del grupo GPP.
Como ha dicho, los grupos globales solo pueden contener entidades principales de seguridad de su propio dominio y el alcance del grupo del administrador del dominio no se puede modificar.
Para abordar sus ediciones, tendrán permisos similares a los del grupo de administradores de dominio en ese momento.