Concedendo direitos de administradores de domínio a membros do domínio pai

Você pode colocar os usuários do domínio "pai" em um grupo global no domínio pai e aninhar esse grupo global no grupo local de domínio "Administradores" no domínio "filho". Isso fornecerá a funcionalidade que você está procurando (assumindo um conjunto de ações de permissões do AD no domínio filho). "Administradores" é nomeado com os mesmos direitos que os "Administradores do domínio" em todas as permissões no AD.

No que diz respeito a permissões em compartilhamentos e coisas que você criou, esse é o seu problema. > sorriso <

Editar:

O grupo "BUILTIN \ Administrators" no domínio filho tem os mesmos direitos do Active Directory que o grupo "Domain Admins" no Active Directory. Você não está falando sobre os direitos do Active Directory em seu comentário - você está falando sobre um aninhamento de grupo padrão que é executado nos Usuários e Grupos Locais nos computadores membros. O tipo de coisa que você comentou é o que eu quero dizer quando disse "esse é o seu problema". É fácil consertar também.

Este é um trabalho para a política de "Grupos restritos"!

Digamos que você queira modificar o comportamento do aninhamento do grupo "Administradores" local em todo o domínio no domínio filho.

• Crie e vincule um GPO à raiz do domínio filho (na verdade, vincule-o a uma sub-unidade organizacional com um computador de teste primeiro e, quando souber que está funcionando, vincule-o à raiz do domínio).
• Nesse GPO, abra "Configurações do computador", depois "Configurações do Windows", "Configurações de segurança" e "Grupos restritos".
• Clique com o botão direito do mouse em "Grupos restritos" e faça um "Adicionar grupo".
• Clique em "Procurar" na caixa de diálogo "Adicionar grupo", digite "Administradores" ( não "Administradores do domínio" ou qualquer outra coisa) e clique em "Verificar nome" e "OK". Clique em "OK" para rejeitar a caixa de diálogo "Adicionar grupo".
• Na caixa de diálogo "Propriedades dos administradores", clique no botão "Adicionar" na parte superior, ao lado da caixa de listagem "Membros deste grupo".
• Clique em "Procurar" na caixa de diálogo "Adicionar membro" e digite "Administradores do domínio" e clique em "Verificar nome" e "OK". Na caixa de diálogo "Add Member", você verá "CHILDDOMAINNETBIOSNAME \ Domain Admins" listados. Clique em "OK".
• Na caixa de diálogo "Propriedades dos administradores", clique no botão "Adicionar" na parte superior, ao lado da caixa de listagem "Membros deste grupo" novamente.
• Clique em "Procurar" na caixa de diálogo "Adicionar membro" e digite o nome do grupo global no domínio pai que você criou para manter os usuários que estão recebendo direitos "Administrador" no domínio filho. Antes de clicar em "Check Name", clique em "Locations" e escolha o seu domínio pai na caixa de diálogo "Locations" e clique em "OK". Em seguida, clique em "Check Name" e "OK". Na caixa de diálogo "Adicionar membro", você verá "PARENTDOMAINNETBIOSNAME \ Nome do grupo criado" listado. Clique em "OK".

Quando esse GPO se aplica a computadores, o grupo "Administradores" local obtém os grupos "CHILDDOMAINNETBIOSNAME \ Domain Admins" e "PARENTDOMAINNETBIOSNAME \ Group name que você criou" aninhados automaticamente.

adicione usuários no grupo global e, em seguida, esse grupo global no grupo Universal. Vá para o domínio filho e adicione usuários no grupo de domínios loco e, em seguida, nesse grupo de domínio local, adicione o grupo universal do domínio pai.

Significa que, do domínio pai, o grupo Global seria membro do grupo universal do mesmo domínio. E no domínio filho, o grupo de domínio local teria o grupo universal (do domínio pai) como membro.