向跨林用户帐户授予域管理员权限？

Question

有没有人知道[有效]让一个林中的用户或组获得另一个林中域管理员组的权限的方法？

添加Domain Admins@OneForest到的明显方法Domain Admins@OtherForest不是一个选项，因为域管理员组是一个全局组（因此，由于全局组的范围，不能有来自其他林的成员）。

您可以将 中Domain Admins@OneForest的域添加到域本地组中OtherForest，但随后您无法将域本地组添加为全局（或通用）组的成员，这似乎导致使用这种方法进行一些死胡同问题。

我遇到了一些部分解决方法（输入后，我将作为答案来整理问题），问题在于它提供域计算机上的管理权限，而不是域本身 - 例如，它没有'不允许跨林帐户编辑 GPO。

我考虑过的另一种方法，基本上没有研究的运气是复制/克隆/复制域管理员组（但作为域本地组，因此它可以接受来自另一个域的成员），但我不能似乎在这个克隆组需要什么权限以及什么资源上定位资源。看到确定给定的 Active Directory 组具有哪些权限并不是一项微不足道的任务，我希望有一些关于内置组和默认组具有哪些权限的 Microsoft 文档，但我能找到的只是对它们权限的描述，这对我尝试配置另一个组以匹配没有好处。

长问题简短，有谁知道如何将一个林中的域管理员权限应用到另一个林中的帐户？

Answer 1

我发现，我希望其他人可以击败（通过将这些权利应用于现有对象）是：

1. 在两个林之间建立正确的 DNS 通信。
   • 就我而言，这需要 DNS 委托区域和正确配置的条件转发器。
2. 使用全林身份验证创建双向林信任。
3. 将Domain Admins@OneForest组添加到Builtin\Adminstrators@OtherForest组中。
   • 这有效地授予了OtherForest域计算机上的用户级权限，以及域控制器上的管理权限OtherForest。
4. 在其中创建域本地组OtherForest并将该Domain Admins@OneForest组作为成员添加到其中。
5. 创建 GPO/GPP 以将在步骤 4 中创建的组添加到您所有域计算机上的本地管理员组。
   •