是否有人知道如何[有效地]让一个林中的用户或组获得另一个林中的域管理员组的权限?
显而易见的添加Domain Admins@OneForest到方法Domain Admins@OtherForest不是一种选择,因为域管理员组是一个全局组(因此不能有来自其他林的成员,由于全球团体的范围)。
您可以将 添加Domain Admins@OneForest到 中的域本地组OtherForest,但是您不能将域本地组添加为全局(或通用)组的成员,这似乎导致使用此方法解决问题陷入死胡同。
我遇到了一些部分解决方法(打出来后,我会将其作为答案来理清问题),问题在于它提供域计算机上的管理权限,但不提供域本身的管理权限 - 例如,它不允许跨林帐户编辑 GPO。
我考虑过但基本上没有研究成功的另一种方法是复制/克隆/重复域管理员组(但作为域本地组,因此它可以接受来自另一个域的成员),但我似乎找不到有关此克隆组需要哪些权限以及需要哪些资源的资源。鉴于它确定给定 Active Directory 组具有哪些权限并非易事我希望微软能提供一些关于内置组和默认组拥有哪些权限的文档,但是我能找到的只是他们的权限描述,这对我尝试配置另一个组来匹配没有任何帮助。
长话短说,有人知道如何将一个林中的域管理员权限应用于另一个林的帐户吗?
答案1
我发现,我希望别人能够击败(通过让这些权利适用于现有对象)的是:
- 在两个林之间建立正确的 DNS 通信。
- 就我而言,这需要一个 DNS 委托区域和正确配置的条件转发器。
- 使用林范围的身份验证创建双向林信任。
- 将该群组添加
Domain Admins@OneForest到Builtin\Adminstrators@OtherForest群组。- 这实际上授予了域计算机上的用户级权限
OtherForest,以及域控制器上的管理权限OtherForest。
- 这实际上授予了域计算机上的用户级权限
- 在域本地组内创建一个组
OtherForest并将该Domain Admins@OneForest组添加为其成员。 - 创建 GPO/GPP 以将步骤 4 中创建的组添加到所有域计算机上的本地管理员组。
