Windows

向跨林使用者帳戶授予域管理員權限?

  • November 19, 2014

有誰知道一種方法

$$ effectively $$讓一個林中的使用者或組獲得另一個林中域管理員組的權限? Domain Admins@OneForest添加到的明顯方法不是一個選項,因為 Domain Admins 組是一個全域組(因此,由於全域組的範圍,Domain Admins@OtherForest不能有來自其他林的成員)。

您可以將其添加Domain Admins@OneForest到 中的域本地組中OtherForest,但是您不能將域本地組添加為全域(或通用)組的成員,這似乎會導致使用這種方法的死胡同問題。

我遇到了一些部分解決方法(在輸入後,我將作為解決問題的答案),問題在於它提供域電腦上的管理權限,而不是域本身 - 例如,它沒有’不允許跨林帳戶編輯 GPO。

我考慮過的另一種方法,在研究中基本上沒有運氣是複制/複製/複製域管理員組(但作為域本地組,因此它可以接受來自另一個域的成員),但我不能似乎可以找到有關該複製組需要哪些權限以及哪些資源的資源。看到確定給定 Active Directory 組具有哪些權限並非易事,我希望有一些關於內置組和預設組具有哪些權限的 Microsoft 文件,但我能找到的只是他們權限的描述,這對我嘗試配置另一個組來匹配沒有好處。

長長的問題,有誰知道如何將一個林中的域管理員權限應用於另一個林中的帳戶?

我發現,我希望其他人可以擊敗(通過將這些權利應用於現有對象)是:

  1. 在兩個林之間建立正確的 DNS 通信。
  • 就我而言,這需要一個 DNS 委派區域和正確配置的條件轉發器。
  1. 使用林範圍的身份驗證創建雙向林信任
  2. 將組添加Domain Admins@OneForestBuiltin\Adminstrators@OtherForest組。
  • 這有效地授予域電腦上的使用者級權限OtherForest,以及域控制器上的管理權限OtherForest
  1. 在其中創建一個域本地組OtherForest並將該Domain Admins@OneForest組作為成員添加到其中。
  2. 創建 GPO/GPP 以將在步驟 4 中創建的組添加到所有域電腦上的本地管理員組。
  • 上述 GPP 的圖像

引用自:https://serverfault.com/questions/575098