dak*_*aks 4 windows active-directory
在 Active Directory 域 D1 上,我正在创建特定组来委派一些任务。其中一个特定组只是“域管理员”的成员,赋予人们所有管理权力。
然后,根据需要,IT 管理员帐户将成为特定组的成员。这些人需要管理多个 AD 域(D2、D3...),所以我想到了在 D2、D3...
我设法为除域管理员之外的所有委派组进行了这些授权。D2 或 D3 中的这个组是一个“全局”组,我无法将另一个域中的通用组设为它的成员。
我知道这取决于 Active Directory 中组范围的这种想法(请参阅http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx)但我想知道是否有人发现此问题的解决方法。
更新所以,这是不可能的,但是使用“BUILTIN\Administrators”和 GPO/GPP,我可以赋予这些帐户与“域管理员”相同的权力吗?还是他们总是有只有域管理员才能完成的任务?
你不能做你所要求的。来自一个域的用户可以添加到另一个域的“Builtin\Administrators”组,这将允许他们管理该域中的所有域控制器,但这与授予他们域管理员不同,域管理员提供隐式管理权限在域的所有成员上。
这通常通过以下两种方式之一完成:
每个管理员必须管理每个域的一个域管理员帐户。
他们的“home”域的管理员帐户被添加到 Builtin\Administrators 组,并通过 GPP 组首选项的 GPO 受限组成为所有域成员的本地管理员。
正如您所说,全局组只能包含来自其自己域的安全主体,并且不能更改域管理员的组范围。
为了解决您的编辑问题 - 他们届时将拥有与 Domain Admins 组类似的权限。
| 归档时间: |
|
| 查看次数: |
6774 次 |
| 最近记录: |