我有两个测试域,一个信任另一个。
在信任域 GPO 上,我需要将一个来自信任域的组添加到远程桌面用户组,该组将应用于信任域中的所有计算机对象。
但是,当我尝试添加该组时,出现此错误:“所选对象与目标源的类型不匹配”。组类型为“本地域”。
有没有办法使用来自受信任域的组在信任域上创建 GPO?
答案1
在受信任域中创建一个通用组,并从受信任域中向其中添加适当的对象。
在信任域中创建域本地组,并向其中添加受信任的通用组。
使用 GPO 在信任域中的各个本地远程桌面用户组中分配域本地组成员身份。
不要尝试使用 BUILTIN\Remote Desktop Users 组执行此任务,因为它是一个特殊的组范围“Builtin local”。使用这些组获取与域控制器相关的权限 - 如果您使用它们的话。
此外,通过使用 BUILTIN\Remote Desktop Users 组(类似于所有域控制器上的本地组),您实际上是将受信任域中的所有帐户的 RDP 访问权限授予您信任域的域控制器。这是一个可怕想法——并且很可能只是一个疏忽。