域“A”的管理员是否可以“开箱即用”地重置同一林中另一个域“B”中的用户密码?
我认为域管理员不可能像那样管理森林中的另一个域。除非他使用一些非标准的、恶意的实用程序和黑客。
有人可以证实这一点吗?
答案1
不,域管理员没有权限管理森林内的其他域。
这不是“开箱即用”的行为,至少对于“域管理员”组来说不是。
如果您有 的根域ad.mycompany.com和子域,则child.ad.mycompany.com任一域的域管理员都不能管理另一个域。但是,企业管理员组成员将能够管理子域。
但是,如果角色分离程度较低(例如,企业管理员与域管理员是同一个人),则设置此行为不一定被视为恶意行为。此外,没有必要使用“非标准实用程序和黑客”,因为要允许这样做,您只需将父域的域管理员组添加到企业管理员组即可。
子域中的域管理员组成员仍然无权管理父域。