Active Directory 도메인 D1에서 일부 작업을 위임하기 위해 특정 그룹을 만들고 있습니다. 이 특정 그룹 중 하나는 사람들에게 모든 관리 권한을 부여하는 "도메인 관리자"의 구성원입니다.
그러면 IT 관리자 계정은 필요에 따라 특정 그룹의 구성원이 됩니다. 이 사람들은 여러 AD 도메인(D2, D3...)을 관리해야 하기 때문에 D1의 계정을 D2, D3...에서 활성화할 가능성을 생각했습니다.
도메인 관리자를 제외한 모든 위임 그룹에 대해 이러한 재활을 수행했습니다. D2 또는 D3의 이 그룹은 "글로벌" 그룹이므로 다른 도메인의 유니버설 그룹을 해당 그룹의 구성원으로 만들 수 없습니다.
나는 이것이 Active Directory의 그룹 범위 개념에 의존한다는 것을 알고 있습니다(참조:http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx) 하지만 누군가 이 문제에 대한 해결 방법을 찾았는지 궁금합니다.
업데이트그렇다면 불가능하지만 "BUILTIN\Administrators" 및 GPO/GPP를 사용하면 이러한 계정에 "도메인 관리자"와 동일한 권한을 부여할 수 있습니까? 아니면 도메인 관리자만이 할 수 있는 작업을 항상 갖게 됩니까?
답변1
당신은 당신이 요구하는 것을 할 수 없습니다. 한 도메인의 사용자를 다른 도메인의 "Builtin\Administrators" 그룹에 추가하면 해당 도메인의 모든 도메인 컨트롤러를 관리할 수 있지만 이는 암시적인 관리자 권한을 제공하는 도메인 관리자를 부여하는 것과는 다릅니다. 도메인의 모든 구성원에 대해.
이는 일반적으로 다음 두 가지 방법 중 하나로 수행됩니다.
각 관리자는 관리해야 하는 도메인당 하나의 도메인 관리자 계정을 가집니다.
"홈" 도메인의 관리자 계정은 내장\관리자 그룹에 추가되고 GPP 그룹 기본 설정의 GPO 제한 그룹을 통해 모든 도메인 구성원에 대한 로컬 관리자가 됩니다.
앞서 말했듯이 글로벌 그룹은 자체 도메인의 보안 주체만 포함할 수 있으며 도메인 관리자의 그룹 범위는 변경할 수 없습니다.
편집 내용을 처리하기 위해 해당 시점에서는 도메인 관리자 그룹과 유사한 권한을 갖게 됩니다.