我有一个顶级域控制器 (DC1),它在我的网络上运行顶级林。我添加了一个树域控制器 (TDC1) 作为林中的新域。我正尝试将企业管理员添加到 Active Directory 中的新树中。因此,本质上 DC1 上林的企业管理员组中的人员也是 TDC1 上的管理员。当我尝试将组或其中的组从 DC1 添加到 TDC1 时,它不允许我选择另一个域来拉取该组。
是否可以将企业管理员设为 Tree 域上的域管理员,还是我必须重新设置该域中的用户以允许他们登录该域?或者我可以在林级 DC1 上创建一个组,并根据权限要求将该组添加到 TDC1 域?
所有服务器均运行 Windows Server 2016。
编辑将域添加到林时,树域如 Server 2016 配置管理器部分中所示。
因此,我正在向林中添加一个域。在我的 Active Directory 管理中心客户端中,我可以将两个域添加到其中,以便从 DC1 管理它们。因此,我有一个 DC1 域,它是办公区域。还有一个 TDC1 域,它是测试实验室,安全和管理从 DC1 运行。我想知道,既然我在 DC1 域上向 ENTERPRISE DOMAINS 添加了一个管理员组,那么该组管理员是否在 TDC1 上?
除了 2 个 DC 相互连接外,其他网络彼此不相连。因此 DC1 域用户的登录无法在 TDC1 计算机上进行。
答案1
您的术语非常令人困惑。您是否有两个域,一个根域和一个子域在一棵树中,或者您是否在同一个林中的两个不同树中有两个域?
在任一情况下,您都不需要执行您正在尝试执行的操作。如果两个域都在同一棵树中,或者它们是同一林中的两棵树,您会发现来自根域的 DomainAdmins 组已添加到子域中的域本地管理员组中。如果您创建的是一棵单独的树,则情况也是如此。
因此,您的默认管理员帐户在两个示例中都已具有管理员写入权限。此链接上有一个表格,解释了这些组是什么以及它们是如何相互嵌套的:
https://technet.microsoft.com/en-us/library/cc700835.aspx
但是,如果您创建了新的林,那么您必须首先创建林信任,然后才能够将您的管理员组从一个域添加到另一个域。