在 Active Directory 域 D1 上,我正在创建特定组来委派一些任务。其中一个特定组只是“域管理员”的成员,以赋予人们所有管理权力。
IT 管理员帐户将根据需要成为特定组的成员。这些人需要管理多个 AD 域(D2、D3……),所以我考虑了从 D1 到 D2、D3 上激活帐户的可能性……
我设法为所有委派组(域管理员除外)进行了这些授权。D2 或 D3 中的此组是“全局”组,我无法使来自其他域的通用组成为其成员。
我知道它依赖于 Active Directory 中组范围的概念(请参阅http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx),但我想知道是否有人找到了解决此问题的方法。
更新因此,这是不可能的,但是使用“BUILTIN \ Administrators”和 GPO / GPP,我可以赋予这些帐户与“域管理员”相同的权限吗?还是他们总是有只有域管理员才能执行的任务?
答案1
您无法实现您的要求。可以将一个域中的用户添加到另一个域的“Builtin\Administrators”组中,这将允许他们管理该域中的所有域控制器,但这与授予他们域管理员权限不同,后者为域中的所有成员提供了隐式的管理权限。
这通常通过以下两种方式之一实现:
每个管理员必须管理每个域的一个域管理员帐户。
他们的“主”域中的管理员帐户被添加到 Builtin\Administrators 组,并通过 GPP 组偏好的 GPO 限制组成为所有域成员的本地管理员。
正如您所说,全局组只能包含来自其自己域的安全主体,并且域管理员的组范围不能改变。
为了解决您的编辑问题 - 他们将拥有与域管理员组类似的权限。