我们已经设置了一个子域,并希望授予父域的用户在子域上与域管理员组成员相同的权限。
因此,我们的设置如下所示:parent.mycompany.com:所有用户所在的主域child.mycompany.com:用于开发的子域
我知道我们不能将父域中的用户添加到子域中的域管理员组,因为它是一个无法更改的全局组。有没有办法在子域中创建域本地或通用组,然后授予该组与域管理员组相同的权限?
或者有任何其他方法可以让我授予父域中的用户在子域上的权限?
注意:所有域控制器均运行 WS2008,并且域提升到 WS2008 功能级别。
谢谢,乔恩
答案1
您可以将“父”域中的用户放入父域中的全局组中,然后将该全局组嵌套到“子”域中的“管理员”域本地组中。这将为您提供所需的功能(假设子域上有一组现有的 AD 权限)。在 AD 上的所有权限中,“管理员”的权限与“域管理员”的权限相同。
至于您创建的共享等的权限——那是您的问题。>微笑<
编辑:
子域中的“BUILTIN\Administrators”组做享有同等权利活动目录作为 Active Directory 中的“域管理员”组。您在评论中没有提到对 Active Directory 的权限——您是在谈论在本地用户和组在会员电脑上。您评论的那种情况就是我说“那是您的问题”的意思。这也是一个很容易解决的问题。
这是“受限群组”政策的工作!
因此,假设您想要修改在子域中全域嵌套的本地“管理员”组的行为。
- 在子域的根目录下创建并链接一个 GPO(实际上,首先将其链接到其中包含测试计算机的子 OU,然后当您知道它正常工作时,将其链接到域的根目录)。
- 在该 GPO 中,打开“计算机设置”,然后打开“Windows 设置”、“安全设置”和“受限组”。
- 右键单击“受限组”并执行“添加组”。
- 在“添加组”对话框中单击“浏览”,输入“管理员”(不是键入“域管理员”或其他任何名称),然后单击“检查名称”和“确定”。单击“确定”关闭“添加组”对话框。
- 在“管理员属性”对话框中,单击顶部“此组的成员”列表框旁边的“添加”按钮。
- 在“添加成员”对话框中单击“浏览”,输入“域管理员”,然后单击“检查名称”和“确定”。在“添加成员”对话框中,您将看到列出的“CHILDDOMAINNETBIOSNAME\Domain Admins”。单击“确定”。
- 在“管理员属性”对话框中,再次单击顶部“此组的成员”列表框旁边的“添加”按钮。
- 单击“添加成员”对话框中的“浏览”,然后输入您在父域中创建的全局组的名称,该组用于容纳在子域中获得“管理员”权限的用户。在单击“检查名称”之前,单击“位置”,在“位置”对话框中选择您的父域,然后单击“确定”。然后单击“检查名称”和“确定”。在“添加成员”对话框中,您将看到列出的“PARENTDOMAINNETBIOSNAME\您创建的组名称”。单击“确定”。
当此 GPO 应用于计算机时,其本地“管理员”组将自动嵌套组“CHILDDOMAINNETBIOSNAME\Domain Admins”和“PARENTDOMAINNETBIOSNAME\您创建的组名称”。
答案2
在全局组中添加用户,然后在通用组中将该全局组添加。转到子域,在本地域组中添加用户,然后在该本地域组中添加来自父域的通用组。
意思是,来自父域的全局组将是来自同一域的通用组的成员。而在子域中,本地域组将以通用组(来自父域)为其成员。
答案3
我敢打赌,域管理员是故意全局的,所以你不能从一个域链接到另一个域。我们的做法是模仿这一点,在子域(或任何其他域)中创建一个域本地组,向其中添加父全局组,然后将域本地组放在域管理员所在的位置。