상위 도메인 구성원에게 도메인 관리자 권한 부여

"상위" 도메인의 사용자를 상위 도메인의 글로벌 그룹에 배치한 다음 해당 글로벌 그룹을 "하위" 도메인의 "관리자" 도메인 로컬 그룹에 중첩시킬 수 있습니다. 그러면 원하는 기능이 제공됩니다(하위 도메인에 대한 재고 AD 권한 집합이 있다고 가정). "관리자"는 AD의 모든 권한에서 "도메인 관리자"와 동일한 권한으로 명명됩니다.

공유 및 귀하가 생성한 권한에 대한 권한은 귀하의 문제입니다. >미소<

편집하다:

하위 도메인의 "BUILTIN\Administrators" 그룹하다동일한 권리를 갖습니다액티브 디렉토리Active Directory의 "도메인 관리자" 그룹으로 귀하의 의견에서는 Active Directory에 대한 권한에 대해 이야기하고 있지 않습니다.로컬 사용자 및 그룹회원 컴퓨터에서. 당신이 언급한 종류의 것은 제가 "그게 당신의 문제입니다"라고 말한 것과 같습니다. 고치는 것도 쉽습니다.

이것은 "제한된 그룹" 정책에 대한 작업입니다!

따라서 하위 도메인에서 도메인 전체에 중첩된 로컬 "관리자" 그룹의 동작을 수정한다고 가정해 보겠습니다.

• 하위 도메인의 루트에 GPO를 만들고 연결합니다(실제로는 먼저 테스트 컴퓨터가 있는 하위 OU에 연결한 다음 제대로 작동하는지 확인하면 도메인의 루트에 연결합니다).
• 해당 GPO에서 "컴퓨터 설정"을 연 다음 "Windows 설정", "보안 설정" 및 "제한된 그룹"을 엽니다.
• "제한된 그룹"을 마우스 오른쪽 버튼으로 클릭하고 "그룹 추가"를 수행하십시오.
• "그룹 추가" 대화상자에서 "찾아보기"를 클릭하고 "관리자"(~ 아니다"도메인 관리자" 또는 기타 항목)을 선택하고 "이름 확인"과 "확인"을 클릭하세요. "확인"을 클릭하여 "그룹 추가" 대화 상자를 닫습니다.
• "관리자 속성" 대화 상자에서 "이 그룹의 구성원" 목록 상자 옆 상단에 있는 "추가" 버튼을 클릭합니다.
• "구성원 추가" 대화 상자에서 "찾아보기"를 클릭하고 "Domain Admins"를 입력한 다음 "이름 확인" 및 "확인"을 클릭합니다. "구성원 추가" 대화 상자에 "CHILDDOMAINNETBIOSNAME\Domain Admins"가 나열된 것을 볼 수 있습니다. "확인"을 클릭하세요.
• "관리자 속성" 대화 상자에서 "이 그룹의 구성원" 목록 상자 옆 상단에 있는 "추가" 버튼을 다시 클릭합니다.
• "구성원 추가" 대화 상자에서 "찾아보기"를 클릭하고 하위 도메인에서 "관리자" 권한을 갖는 사용자를 보유하기 위해 생성한 상위 도메인의 글로벌 그룹 이름을 입력하세요. "이름 확인"을 클릭하기 전에 "위치"를 클릭하고 "위치" 대화 상자에서 상위 도메인을 선택한 다음 "확인"을 클릭하세요. 그런 다음 "이름 확인"과 "확인"을 클릭하세요. "구성원 추가" 대화 상자에 "만든 PARENTDOMAINNETBIOSNAME\그룹 이름"이 표시됩니다. "확인"을 클릭하세요.

이 GPO가 컴퓨터에 적용되면 로컬 "관리자" 그룹은 자동으로 중첩된 "CHILDDOMAINNETBIOSNAME\Domain Admins" 및 "PARENTDOMAINNETBIOSNAME\그룹 이름" 그룹을 갖게 됩니다.

글로벌 그룹에 사용자를 추가한 다음 유니버설 그룹에 해당 글로벌 그룹을 추가합니다. 하위 도메인으로 이동하여 로컬 도메인 그룹에 사용자를 추가한 다음 해당 로컬 도메인 그룹에 상위 도메인의 유니버설 그룹을 추가합니다.

즉, 상위 도메인 글로벌 그룹은 동일한 도메인의 유니버설 그룹의 구성원이 됩니다. 그리고 하위 도메인에서 로컬 도메인 그룹은 유니버설 그룹(상위 도메인의)을 구성원으로 갖습니다.

내 생각은 Domain Admins가 의도적으로 전역이므로 도메인 간을 연결할 수 없다는 것입니다. 우리가 하는 일은 하위(또는 다른 모든) 도메인에 도메인 로컬 그룹을 생성하고 여기에 상위 글로벌 그룹을 추가한 다음 도메인 관리자가 있는 지점에 도메인 로컬 그룹을 배치하여 이를 모방하는 것입니다.