向父域成员授予域管理员权限

您可以将“父”域中的用户放入父域中的全局组中，然后将该全局组嵌套到“子”域中的“管理员”域本地组中。这将为您提供您正在寻找的功能（假设子域上有一组 AD 权限）。在 AD 的所有权限中，“管理员”的名称与“域管理员”的权限相同。

至于您创建的共享权限和此类权限 - 这是您的问题。>微笑<

编辑：

子域中的“BUILTIN\Administrators”组对Active Directory的权限与Active Directory中的“域管理员”组的权限相同。您不是在评论中谈论对 Active Directory 的权限——您是在谈论在成员计算机上的本地用户和组上执行的默认组嵌套。当我说“那是你的问题”时，你评论的那种事情就是我的意思。这也很容易修复。

这是“限制组”政策的工作！

因此，假设您要修改在子域中嵌套域范围的本地“管理员”组的行为。

• 在子域的根目录创建并链接 GPO（实际上，首先将其链接到其中包含测试计算机的子 OU，然后当您知道它正在工作时，将其链接到域的根目录）。
• 在该 GPO 中，打开“计算机设置”，然后打开“Windows 设置”、“安全设置”和“受限组”。
• 右键单击“受限组”并执行“添加组”。
• 在“添加组”对话框中单击“浏览”，键入“管理员”（不是“域管理员”或其他任何内容），然后单击“检查名称”和“确定”。单击“确定”关闭“添加组”对话框。
• 在“管理员属性”对话框中，单击顶部“此组的成员”列表框旁边的“添加”按钮。
• 在“添加成员”对话框中单击“浏览”并键入“域管理员”，然后单击“检查名称”和“确定”。在“添加成员”对话框中，您将看到列出的“CHILDDOMAINNETBIOSNAME\Domain Admins”。单击“确定”。
• 在“管理员属性”对话框中，再次单击“此组的成员”列表框旁边的顶部的“添加”按钮。
• 单击“添加成员”对话框中的“浏览”，并键入您创建的父域中的全局组的名称，以保留在子域中获得“管理员”权限的用户。在单击“检查名称”之前，单击“位置”并在“位置”对话框中选择您的父域，然后单击“确定”。然后单击“检查名称”和“确定”。在“添加成员”对话框中，您将看到列出的“PARENTDOMAINNETBIOSNAME\您创建的组名称”。单击“确定”。

当此 GPO 应用于计算机时，其本地“管理员”组将自动将组“CHILDDOMAINNETBIOSNAME\Domain Admins”和“PARENTDOMAINNETBIOSNAME\Group name you created”嵌套到其中。

在全局组中添加用户，然后在通用组中添加该全局组。转到子域在本地域组中添加用户，然后在该本地域组中添加来自父域的通用组。

意味着，来自父域的全局组将是来自同一域的通用组的成员。在子域中，本地域组将通用组（来自父域）作为其成员。