Concessão de direitos de administrador de domínio a membros do domínio pai

Você pode colocar os usuários do domínio "pai" em um grupo global no domínio pai e, em seguida, aninhar esse grupo global no grupo local do domínio "Administradores" no domínio "filho". Isso lhe dará a funcionalidade que você procura (assumindo um conjunto de permissões de AD no domínio filho). "Administradores" são nomeados com os mesmos direitos que "Administradores de Domínio" em todas as permissões no AD.

No que diz respeito às permissões em compartilhamentos e coisas que você criou - esse é o seu problema. >sorri<

Editar:

O grupo "BUILTIN\Administradores" no domínio filhofaztêm os mesmos direitosDiretório Ativocomo o grupo "Administradores de domínio" no Active Directory. Você não está falando sobre direitos ao Active Directory em seu comentário - você está falando sobre um aninhamento de grupo padrão que é executado noUsuários e grupos locaisnos computadores membros. O tipo de coisa que você comentou é o que quero dizer quando disse "isso é problema seu". Também é fácil de consertar.

Este é um trabalho para a política de "Grupos Restritos"!

Então, digamos que você queira modificar o comportamento do grupo local "Administradores" aninhando todo o domínio no domínio filho.

• Crie e vincule um GPO na raiz do domínio filho (na verdade, primeiro vincule-o a uma sub-UO com um computador de teste e, quando souber que está funcionando, vincule-o à raiz do domínio).
• Nesse GPO, abra "Configurações do computador", depois "Configurações do Windows", "Configurações de segurança" e "Grupos restritos".
• Clique com o botão direito em "Grupos Restritos" e faça "Adicionar Grupo".
• Clique em "Procurar" na caixa de diálogo "Adicionar grupo", digite "Administradores" (não"Administradores de domínio" ou qualquer outra coisa) e clique em "Verificar nome" e "OK". Clique em “OK” para fechar a caixa de diálogo “Adicionar grupo”.
• Na caixa de diálogo "Propriedades dos administradores", clique no botão "Adicionar" na parte superior, ao lado da caixa de listagem "Membros deste grupo".
• Clique em "Procurar" na caixa de diálogo "Adicionar membro" e digite "Administradores de domínio" e clique em "Verificar nome" e "OK". Na caixa de diálogo "Adicionar membro", você verá "CHILDDOMAINNETBIOSNAME\Domain Admins" listado. Clique OK".
• Na caixa de diálogo "Propriedades dos administradores", clique no botão "Adicionar" na parte superior, ao lado da caixa de listagem "Membros deste grupo" novamente.
• Clique em “Procurar” na caixa de diálogo “Adicionar Membro” e digite o nome do grupo global no domínio pai que você criou para manter usuários que estão obtendo direitos de “Administrador” no domínio filho. Antes de clicar em "Verificar nome", clique em "Locais" e escolha seu domínio pai na caixa de diálogo "Locais" e clique em "OK". Em seguida, clique em “Verificar nome” e “OK”. Na caixa de diálogo "Adicionar membro", você verá "PARENTDOMAINNETBIOSNAME\Nome do grupo que você criou" listado. Clique OK".

Quando este GPO se aplica a computadores, seu grupo local de "Administradores" obterá os grupos "CHILDDOMAINNETBIOSNAME\Domain Admins" e "PARENTDOMAINNETBIOSNAME\Group name you create" aninhados nele automaticamente.

adicione usuários no grupo global e, em seguida, esse grupo global no grupo Universal. Vá para o domínio filho, adicione usuários no grupo de domínio local e, em seguida, nesse grupo de domínio local, adicione o grupo universal do domínio pai.

Significa que do domínio pai o grupo global seria membro do grupo universal do mesmo domínio. E no domínio filho, o grupo de domínio local teria o grupo universal (do domínio pai) como membro.

Minha aposta é que os administradores de domínio são globais propositalmente, então você não pode encadear de domínio para domínio. O que fazemos é imitar isso criando um grupo de domínio local no (s) domínio (s) filho (s) (ou qualquer outro), adicionar grupos globais pai a ele e, em seguida, colocar o domínio local nos locais onde estão os administradores de domínio.