在 Active Directory 中的樹域上添加 ENTERPRISE ADMINS
我有一個頂級域控制器 (DC1) 在我的網路上執行頂級林。我在林中添加了一個樹域控制器 (TDC1) 作為新域。我正在嘗試將 ENTERPRISE ADMINS 添加到 Active Directory 中的新樹中。因此,基本上 DC1 上森林的 ENTERPRISE ADMINS 組中的那些人也是 TDC1 上的管理員。當我嘗試將組或其中的組從 DC1 添加到 TDC1 時,它不允許我選擇另一個域來提取組。
是否可以在 Tree 域上創建 ENTERPRISE ADMINS、域管理員,或者我是否必須將使用者重新設置為該域以允許他們登錄到該域?或者我可以在林級別 DC1 上創建一個組,然後根據權限要求將該組添加到 TDC1 域中嗎?
所有執行 Windows Server 2016 的伺服器。
將域添加到林時,編輯樹域,如 Server 2016 配置管理器部分中所示。 所以我正在向森林中添加一個域。在我的 Active Directory 管理中心客戶端中,我可以將兩個域都添加到它以從 DC1 管理它們。所以我有一個 DC1 域,它是一個辦公區域。TDC1 域是一個測試實驗室,安全和管理是從 DC1 執行的。我想我想知道,因為在 DC1 域上,我向企業域添加了一個管理員組,是 TDC1 上的那個組管理員嗎?
除了 2 個相互連接的 DC 之外,網路沒有相互連接。因此,來自 DC1 域使用者的登錄將無法在 TDC1 電腦上執行。
您的術語非常混亂。您是否有兩個域,一個根域和一個子域在一棵樹中,或者您在同一森林的兩棵不同樹中是否有兩個域?
在任何一種情況下,您都不需要做您想做的事情。如果兩個域都在同一棵樹中,或者它們是同一林中的兩棵樹,您會發現根域中的 DomainAdmins 組已添加到子域中的 Domain Local Administrators 組中。如果它是您創建的單獨樹,則同樣適用。
因此,您的預設管理員帳戶在兩個範例中都已經具有管理員寫入權限。此連結上有一張表格,解釋了這些組是什麼以及它們如何相互嵌套:
https://technet.microsoft.com/en-us/library/cc700835.aspx
但是,如果您創建了一個新林,那麼您必須首先創建一個林信任,然後您將能夠將您的管理員組從一個域添加到另一個域。