我有一个单向域信任设置,如果我想根据受信任域中的每个用户来处理用户,它就可以正常工作。假设我们有“Parent.Domain.com”和“Child.Domain.com”,其中Child信任Parent但Parent不信任Child- 除了这种信任之外,这两个域 100% 不相关。对于 内的所有服务器Child,我现在可以为 中的用户指定权限Parent,所以这告诉我信任正在发挥作用。
现在我想将其提升到一个新的水平,并开始Child为我的Parent用户和组设置域范围内的权限,但这是我失败的地方。我想做的第一件事是让所有Domain Admins在 中的Parent用户也加入 中的Domain Admins组Child。但是,当我将此成员资格添加到Child's Domain Admins组时,我看不到来自我的域、组或用户的任何内容(我在位置树中Parent根本看不到)。Parent.Domain.com
我的研究表明,每个人都提到组范围在这里很重要,所以我开始研究这个问题。经过研究和反复试验,我能够创建一个名为的新组(域本地),Parent Domain Admins并将域中Domain Admins的组添加Parent到其中。但是,我仍然无法将此组添加到Domain Admins中的组中Child。
我已经不知道还能尝试什么了,谷歌也让我失望了。我该如何完成这种事情?
答案1
我对这个问题的解决方案是创建一个域本地组(就像您所做的那样),将所需的用户从父域添加到子域本地组,然后使用组策略将该组添加到子域中所有计算机的本地管理员组。