Active-Directory
子域客戶端的父域管理員
我有一種情況,我們有一個父/子域。我們有一個名為 Enterprise Admins 的通用組,該組中有 PARENT\Domain Admin。在子域帳戶 BUILD-IN\Administrators 組下,我們放置了 PARENT\Enterprise Admins,這為我們提供了遠端對子域的完全管理權限。
我們遇到的問題是我們希望將 PARENT\Domain Admins 添加到電腦的本地管理員中,而無需在子域上創建域本地帳戶。我們實施了受限組策略以將 PARENT\Domain Admins 和 CHILD\Domain Admins 組添加到本地管理員組,這很有效。
但是,使用限制性組策略,我們添加到框中的任何自定義本地管理員都會被刪除並替換為策略,這是我們不想要的。
我們如何在不刪除現有的情況下將 PARENT\Domain Admin 組添加到子域上的客戶端。
您可以使用組策略首選項使用您想要的任何域帳戶\組來更新本地電腦上的 Built-in\Administrators 組。除非您明確選中刪除所有其他組成員的選項,否則這不會替換現有組\使用者。
受限組是老派的做法。GPP 是一種新的、更靈活的方式。