Предоставление прав администратора домена членам родительского домена

Вы можете поместить пользователей из «родительского» домена в глобальную группу в родительском домене, затем вложить эту глобальную группу в локальную группу домена «Администраторы» в «дочернем» домене. Это даст вам функциональность, которую вы ищете (предполагая наличие стандартного набора разрешений AD в дочернем домене). «Администраторы» получают те же права, что и «Администраторы домена» во всех разрешениях в AD.

Что касается разрешений на общие ресурсы и тому подобное, что вы создали — это ваша проблема. >улыбка<

Редактировать:

Группа «BUILTIN\Администраторы» в дочернем доменеделаетимеют те же права, что иАктивный каталогкак группа "Администраторы домена" в Active Directory. Вы не говорите о правах в Active Directory в своем комментарии -- вы говорите о вложенности группы по умолчанию, которая выполняется наЛокальные пользователи и группына компьютерах участников. То, что вы прокомментировали, я и имел в виду, когда сказал "это ваша проблема". Это также легко исправить.

Это работа для политик «Ограниченных групп»!

Итак, предположим, что вы хотите изменить поведение локальной группы «Администраторы», вложенной во весь домен, в дочернем домене.

• Создайте и привяжите объект групповой политики в корне дочернего домена (на самом деле, сначала привяжите его к дочернему подразделению с тестовым компьютером в нем, а затем, когда убедитесь, что он работает, привяжите его к корню домена).
• В этом объекте групповой политики откройте «Параметры компьютера», затем «Параметры Windows», «Параметры безопасности» и «Ограниченные группы».
• Щелкните правой кнопкой мыши «Ограниченные группы» и выберите «Добавить группу».
• Нажмите «Обзор» в диалоговом окне «Добавить группу», введите «Администраторы» (нет«Администраторы домена» или что-то еще), нажмите «Проверить имя» и «ОК». Нажмите «ОК», чтобы закрыть диалоговое окно «Добавить группу».
• В диалоговом окне «Свойства администраторов» нажмите кнопку «Добавить» вверху, рядом со списком «Участники этой группы».
• Нажмите «Обзор» в диалоговом окне «Добавить участника», введите «Администраторы домена», нажмите «Проверить имя» и «ОК». В диалоговом окне «Добавить участника» вы увидите в списке «CHILDDOMAINNETBIOSNAME\Администраторы домена». Нажмите «ОК».
• В диалоговом окне «Свойства администраторов» снова нажмите кнопку «Добавить» вверху, рядом со списком «Участники этой группы».
• Нажмите «Обзор» в диалоговом окне «Добавить участника» и введите имя глобальной группы в родительском домене, которую вы создали для пользователей, получающих права «Администратор» в дочернем домене. Перед тем как нажать «Проверить имя», нажмите «Расположения» и выберите родительский домен в диалоговом окне «Расположения» и нажмите «ОК». Затем нажмите «Проверить имя» и «ОК». В диалоговом окне «Добавить участника» вы увидите «PARENTDOMAINNETBIOSNAME\Имя созданной вами группы». Нажмите «ОК».

Когда этот объект групповой политики применяется к компьютерам, их локальная группа «Администраторы» автоматически получит вложенные в нее группы «CHILDDOMAINNETBIOSNAME\Администраторы домена» и «PARENTDOMAINNETBIOSNAME\Имя созданной вами группы».

добавьте пользователей в глобальную группу, а затем эту глобальную группу в универсальную группу. Перейдите в дочерний домен, добавьте пользователей в локальную доменную группу, а затем в эту локальную доменную группу добавьте универсальную группу из родительского домена.

Значит, из родительского домена Глобальная группа будет членом универсальной группы из того же домена. А в Дочернем домене локальная доменная группа будет иметь универсальную группу (из родительского домена) в качестве своего члена.

Я ставлю на то, что Domain Admins глобально намеренно, поэтому вы не можете цеплять домены. Мы имитируем это, создавая локальную группу домена в дочернем (или любом другом) домене(ах), добавляем в нее родительские глобальные группы, а затем помещаем локальную группу домена в те места, где находятся администраторы домена.