在 Active Directory 域 D1 上,我正在创建特定组来委派一些任务。其中一个特定组只是“域管理员”的成员,以赋予人们所有管理权力。
然后,IT 管理员帐户将根据需要成为特定组的成员。这些人需要管理多个 AD 域(D2、D3...),所以我考虑了在 D2、D3 上从 D1 恢复帐户的可能性...
除了域管理员之外,我设法为所有委派组设置了这些功能。D2 或 D3 中的这个组是一个“全局”组,我不能让来自另一个域的通用组成为它的成员。
我知道这取决于 Active Directory 中的组范围的想法(请参阅http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx)但我想知道是否有人找到解决此问题的方法。
更新所以,这是不可能的,但使用“BUILTIN\Administrators”和 GPO/GPP,我可以赋予这些帐户与“域管理员”相同的权力吗?还是他们总是有只有域管理员才能完成的任务?
你不能按照你的要求去做。来自一个域的用户可以添加到另一个域的“Builtin\Administrators”组,这将允许他们管理该域中的所有域控制器,但这与授予他们域管理员不同,后者提供隐式管理员权限在域的所有成员上。
这通常通过以下两种方式之一完成:
每个管理员必须管理每个域的一个域管理员帐户。
他们的“主”域中的管理员帐户被添加到 Builtin\Administrators 组,并通过 GPO 限制组的 GPP 组首选项成为所有域成员的本地管理员。
正如您所说,全局组只能包含来自其自己域的安全主体,并且不能更改域管理员的组范围。
为了解决您的编辑问题 - 他们此时将拥有与 Domain Admins 组类似的权限。