в домене Active Directory D1 я создаю определенные группы для делегирования некоторых задач. Одна из этих определенных групп — просто член «Администраторов домена», чтобы дать людям все полномочия по управлению.
Учетные записи ИТ-администраторов затем будут членами определенной группы в зависимости от необходимости. Этим людям нужно администрировать несколько доменов AD (D2, D3...), поэтому я подумал о возможности абилитации учетных записей из D1 на D2, D3...
Мне удалось сделать эти абилитации для всех групп делегирования, за исключением Администраторов домена. Эта группа в D2 или D3 является "глобальной" группой, и я не могу сделать универсальную группу из другого домена ее членом.
Я знаю, что это зависит от идеи области действия групп в Active Directory (см.http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx) но мне интересно, нашел ли кто-нибудь решение этой проблемы.
обновлятьИтак, это невозможно, но могу ли я, используя «BUILTIN\Administrators» и GPO/GPP, предоставить этим учетным записям те же полномочия, что и «Администраторам домена»? Или у них всегда будут задачи, которые может выполнять только администратор домена?
решение1
Вы не можете сделать то, о чем просите. Пользователи из одного домена могут быть добавлены в группу "Builtin\Administrators" другого домена, что позволит им управлять всеми контроллерами домена в этом домене, но это не то же самое, что предоставить им права администратора домена, которые предоставляют неявные права администратора для всех членов домена.
Обычно это достигается одним из двух способов:
У каждого администратора есть одна учетная запись администратора домена на домен, которым он должен управлять.
Их учетная запись администратора из их «домашнего» домена добавляется в группу Builtin\Administrators и становится локальным администратором для всех членов домена через ограниченные группы GPO в настройках группы GPP.
Как вы сказали, глобальные группы могут содержать только субъектов безопасности из своего собственного домена, а область действия группы администратора домена не может быть изменена.
Что касается ваших правок, то на этом этапе у них будут такие же права доступа, как и у группы администраторов домена.