M.S. Dousti's questions

此 TechNet 博客指出：

Cryptographic Operators： FIPS 140-2 定义了一个“Crypto Officer”角色，它由 Windows 中的 Cryptographic Operators 组代表，首先在 Windows Vista SP1 中引入。

当System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地或组策略对象中配置“ ”安全设置时，默认情况下只有 Cryptographic Operators 组或 Administrators 组的成员才能配置下一代密码术 (CNG) 设置。具体来说，加密操作员可以在高级安全 Windows 防火墙 (WFAS) 的 IPsec 策略中编辑加密设置。

我执行了以下操作：

1. System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地安全策略中启用“ ”安全设置。它可以在Security Settings -> Local Policies -> Security Options钥匙下找到。
2. 创建了一个新的标准用户。
3. 将用户添加到Cryptographic Operators组中。

我注意到该用户甚至无法访问高级安全 Windows 防火墙 (WFAS)，除非首先成为Network Configuration Operators. 然后，我注意到该组的任何成员都可以访问 WFAS，并在 下创建新规则Connection Security Rules，包括 IPsec 规则。换句话说，用户不必是Cryptographic Operators组的成员。

然后我尝试了另一件事：我打开了 MMC，并添加了“IP 安全策略”管理单元。奇怪的是，用户（该Cryptographic Operators组的成员）无权访问这些设置：

你能帮我弄清楚该Cryptographic Operators组成员（但不是标准用户）可以执行的任务吗？

首先，我想指出这个问题纯粹是理论上的。我要求它更好地了解 Active Directory 中不同组的性质。

因此，我创建了两个独立的 Active Directory 林，例如林 A 和林 B。此外，我在它们之间手动创建了双向传递林信任。现在，我想再尝试一件事：允许林 A 中的任何企业管理员在林 B 中执行任何管理任务。

为此，我想将林 A 的“企业管理员”组添加到林 B 的“企业管理员”组。这是不可能的，因为“企业管理员”组只能在同一林中拥有成员。

接下来，我尝试在林B中添加一个中间组。思路是：

A的“企业管理员”==>中间组==> B的“企业管理员”

但是，唯一可以容纳其他林成员的组是“本地组”，它不能是任何其他类型组的成员。

所以，我被困在这里了。有没有可能完成这个任务？