Tornar um usuário de um domínio membro de Admins do domínio de outro domínio

3

em um domínio do Active Directory D1, estou criando grupos específicos para delegar algumas tarefas. Um desses grupos específicos é apenas um membro de "Administradores de domínio" para dar às pessoas todos os poderes de gerenciamento.

As contas de administrador de TI serão, então, membros do grupo específico, dependendo da necessidade. Essas pessoas precisam administrar vários domínios do AD (D2, D3 ...), então pensei sobre a possibilidade de habilitar contas de D1 em D2, D3 ...

Eu consegui fazer essas habilitações para todos os grupos de delegação, exceto para administradores de domínio. Este grupo em D2 ou D3 é um grupo "global" e não posso tornar um grupo universal de outro domínio membro dele.

Eu sei que é dependente dessa idéia de escopo de grupos no Active Directory (consulte link ) mas gostaria de saber se alguém encontrou uma solução para esse problema.

update Portanto, não é possível, mas usando "BUILTIN \ Administrators" e GPO / GPP, posso dar a essas contas o mesmo poder de "Administradores de Domínio"? ou eles sempre terão tarefas que somente um administrador de domínio poderia fazer?

    
por daks 06.12.2013 / 16:10

1 resposta

6

Você não pode fazer o que está pedindo. Os usuários de um domínio podem ser adicionados ao grupo "Builtin \ Administrators" de outro domínio, o que permitirá que eles gerenciem todos os controladores de domínio nesse domínio, mas isso não é o mesmo que dar a eles o Domain Admin, que fornece direitos implícitos de administrador em todos os membros do domínio.

Isso geralmente é feito de duas maneiras:

  1. Cada administrador tem uma conta de administrador de domínio por domínio que deve gerenciar.

  2. A conta de administrador do domínio "inicial" é adicionada ao grupo "Builtin \ Administrators" e feita como admin local em todos os membros do domínio por meio de grupos restritos de preferências de grupos de GPP.

Como você disse, os grupos globais só podem conter entidades de segurança de seu próprio domínio e o escopo do grupo de administradores do domínio não pode ser alterado.

Para resolver suas edições, elas terão permissões semelhantes ao grupo de administradores do domínio nesse ponto.

    
por 06.12.2013 / 16:23