em um domínio D1 do Active Directory, estou criando grupos específicos para delegar algumas tarefas. Um desses grupos específicos é apenas membro de "Administradores de Domínio" para dar às pessoas todos os poderes de gerenciamento.
As contas de administrador de TI serão então membros do grupo específico, dependendo da necessidade. Essas pessoas precisam administrar vários domínios AD (D2, D3...), então pensei na possibilidade de habilitar contas de D1 em D2, D3...
Consegui fazer essas habilitações para todos os grupos de delegação, exceto Administradores de Domínio. Este grupo em D2 ou D3 é um grupo "global" e não posso tornar um grupo universal de outro domínio membro dele.
Eu sei que depende dessa ideia de escopo de grupos no Active Directory (vejahttp://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx), mas me pergunto se alguém encontrou uma solução alternativa para esse problema.
atualizarEntão não é possível, mas usando "BUILTIN\Administradores" e GPO/GPP, posso dar a essas contas o mesmo poder que "Administradores de Domínio"? ou eles sempre terão tarefas que somente um administrador de domínio poderia realizar?
Responder1
Você não pode fazer o que está pedindo. Os usuários de um domínio podem ser adicionados ao grupo "Builtin\Administradores" de outro domínio, o que lhes permitirá gerenciar todos os controladores de domínio nesse domínio, mas isso não é o mesmo que conceder-lhes Administrador de Domínio, que fornece direitos implícitos de administrador em todos os membros do domínio.
Isso normalmente é feito de duas maneiras:
Cada administrador tem uma conta de administrador de domínio por domínio que deve gerenciar.
A conta de administrador do domínio "inicial" é adicionada ao grupo Builtin\Administradores e torna-se administrador local em todos os membros do domínio por meio de grupos restritos de GPO de preferências de grupo GPP.
Como você disse, os grupos globais só podem conter entidades de segurança de seu próprio domínio e o escopo do grupo do Administrador do Domínio não pode ser alterado.
Para resolver suas edições - eles terão permissões semelhantes às do grupo Administradores de Domínio nesse ponto.