我們已經設定了一個子網域,並希望向父網域中的使用者授予與網域管理員群組成員相同的子網域權限。
因此,我們的設定如下所示:parent.mycompany.com:所有使用者都存在的主網域 child.mycompany.com:用於開發的子網域
我知道我們無法將父網域中的使用者新增至子網域中的網域管理員群組,因為它是無法變更的全域群組。有沒有辦法在子網域中建立網域本機或通用群組,然後授予該群組與網域管理員群組相同的權限?
或者有任何其他方式可以讓我向父域的使用者授予子網域的權限?
注意:所有網域控制站都執行 WS2008,且網域已提升至 WS2008 功能等級。
謝謝,喬恩
答案1
您可以將「父」網域中的使用者放入父網域中的全域群組中,然後將該全域群組嵌套到「子」網域中的「管理員」網域本機群組中。這將為您提供您正在尋找的功能(假設子網域上有一組 AD 權限)。在 AD 上的所有權限中,「管理員」具有與「網域管理員」相同的權限。
至於共享的權限以及您創建的共享權限,那是您的問題。 >微笑<
編輯:
子網域中的“BUILTIN\Administrators”群組做擁有相同的權利活動目錄作為 Active Directory 中的「網域管理員」群組。您在評論中並不是在談論 Active Directory 的權限,而是在談論在 Active Directory 上執行的預設群組巢狀。本機使用者和群組在成員電腦上。你評論的事情就是我說「那是你的問題」時的意思。這也很容易修復。
這是一項針對「限制群體」政策的工作!
因此,假設您想要修改在子網域中嵌套域範圍內的本機「管理員」群組的行為。
- 在子網域的根部建立並連結 GPO(實際上,首先將其連結到其中包含測試電腦的子 OU,然後當您知道它正在工作時,將其連結到網域的根部)。
- 在該 GPO 中,開啟“電腦設定”,然後開啟“Windows 設定”、“安全性設定”和“受限群組”。
- 右鍵單擊“受限群組”並執行“新增群組”。
- 在“新增群組”對話方塊中按“瀏覽”,鍵入“管理員”(不是“網域管理員”或其他任何名稱),然後按一下“檢查名稱”和“確定”。按一下「確定」關閉「新增群組」對話方塊。
- 在「管理員屬性」對話方塊中,按一下頂部「該群組成員」列錶框旁的「新增」按鈕。
- 在“新增成員”對話方塊中按“瀏覽”,輸入“Domain Admins”,然後按一下“檢查名稱”和“確定”。在「新增成員」對話方塊中,您將看到列出的「CHILDDOMAINNETBIOSNAME\Domain Admins」。按一下“確定”。
- 在「管理員屬性」對話方塊中,再次按一下頂部「該群組成員」列錶框旁的「新增」按鈕。
- 按一下“新增成員”對話方塊中的“瀏覽”,然後鍵入您在父網域中建立的全域群組的名稱,該全球群組用於容納在子網域中獲得“管理員”權限的使用者。在按一下「檢查名稱」之前,請按一下「位置」並在「位置」對話方塊中選擇您的父網域,然後按一下「確定」。然後按一下“檢查名稱”和“確定”。在「新增成員」對話方塊中,您將看到列出的「PARENTDOMAINNETBIOSNAME\您建立的群組名稱」。按一下“確定”。
當此 GPO 套用於電腦時,其本機「管理員」群組將自動取得嵌套在其中的群組「CHILDDOMAINNETBIOSNAME\Domain Admins」和「PARENTDOMAINNETBIOSNAME\您建立的群組名稱」。
答案2
將使用者新增至全域群組中,然後將該全域群組新增至通用群組。轉到子網域,在本機網域群組中新增用戶,然後在該本機網域群組中新增父網域中的通用群組。
意味著,來自父域的全域群組將是來自相同網域的通用群組的成員。在子網域中,本機網域群組將具有通用群組(來自父網域)作為其成員。
答案3
我敢打賭,網域管理員是有意全域的,因此您無法從一個網域連結到另一個網域。我們所做的就是透過在子網域(或任何其他)網域中建立網域本機群組來模仿這一點,將父全域群組新增至其中,然後將網域本機放在網域管理員所在的位置。