在 Active Directory 網域 D1 上,我正在建立特定群組來委派一些任務。其中一個特定群組只是「網域管理員」的成員,賦予人們所有管理權力。
IT 管理員帳戶將根據需要成為特定群組的成員。這些人需要管理多個 AD 網域(D2、D3...),因此我考慮了將 D1 帳戶授權到 D2、D3...的可能性。
我設法為除網域管理員之外的所有委派組授予這些資格。 D2 或 D3 中的這個群組是一個「全域」群組,我無法將另一個網域中的通用群組作為其成員。
我知道它依賴 Active Directory 中群組範圍的想法(請參閱http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx)但我想知道是否有人找到了解決此問題的方法。
更新所以,這是不可能的,但是使用“BUILTIN\Administrators”和GPO/GPP,我可以賦予這些帳戶與“網域管理員”相同的權力嗎?還是他們總是有隻有網域管理員才能完成的任務?
答案1
你不能做你所要求的。一個網域中的使用者可以新增到另一個網域的「Builtin\Administrators」群組,這將允許他們管理該網域中的所有網域控制站,但這與授予他們網域管理員不同,網域管理員提供隱式管理權限在網域的所有成員上。
這通常透過以下兩種方式之一完成:
每個管理員在每個網域中都有一個他們必須管理的網域管理員帳戶。
他們的「主」網域中的管理員帳戶被加入到內建\管理員群組中,並透過 GPP 群組首選項的 GPO 限制組成為所有網域成員的本機管理員。
正如您所說,全域群組只能包含來自其自己網域的安全性主體,且網域管理員的群組範圍無法變更。
為了解決您的編輯問題 - 此時他們將擁有與網域管理員群組類似的權限。