在Active Directory域D1上,我创build了特定的组来委派一些任务。 其中一个特定的团体只是“域pipe理员”的成员,给予人们所有的pipe理权力。
ITpipe理员帐户将根据需要成为特定组的成员。 这些人需要pipe理多个广告领域(D2,D3 …),所以我想到了可以在D1,D2,D3 …
除了域pipe理员之外,我为所有代表团做出了这些贡献。 D2或D3中的这个组是一个“全局”组,我不能从另一个域成为通用组。
我知道这取决于Active Directory中组范围的这种想法(请参阅http://technet.microsoft.com/zh-cn/library/cc776499%28v=ws.10%29.aspx ),但是我不知道是否有人发现这个问题的解决方法。
更新所以,这是不可能的,但使用“BUILTIN \ Administrators”和GPO / GPP,我可以给这些帐户“域pipe理员”相同的权力? 或者他们总会有只有域pipe理员才能做的任务?
你不能做你所要求的。 来自一个域的用户可以被添加到另一个域的“Builtin \ Administrators”组中,这将允许他们pipe理该域中的所有域控制器,但这不同于给它们提供隐式pipe理权限的域pipe理员在域的所有成员。
这通常以两种方式之一完成:
每个pipe理员必须为每个域pipe理一个域pipe理员帐户。
他们的“家庭”域中的pipe理员帐户被添加到Builtin \ Administrators组中,并通过GPO组偏好的GPO受限组成为所有域成员的本地pipe理员。
正如您所说的,全局组只能包含来自其自己的域的安全主体,并且域pipe理员的组范围不能被修改。
为了解决您的编辑问题,他们在这一点上将具有与Domain Admins组类似的权限。