Adicionando o grupo “Enterprise Admins” da floresta A ao grupo “Enterprise Admins” da floresta B

Question

Adicionando o grupo “Enterprise Admins” da floresta A ao grupo “Enterprise Admins” da floresta B

#1 resposta do (3 votos)

2

Em primeiro lugar, gostaria de salientar que esta questão é puramente teórica. Eu estou pedindo para entender melhor a natureza dos diferentes grupos no Active Directory.

Por isso, criei duas florestas do Active Directory separadas, digamos, floresta A e floresta B. Além disso, criei manualmente uma confiança de floresta transitiva de mão dupla entre elas. Agora, quero tentar mais uma coisa: permitir que qualquer administrador corporativo na floresta A realize qualquer tarefa administrativa na floresta B.

Para fazer isso, pensei em adicionar o grupo "Enterprise Admins" da floresta A ao grupo "Enterprise Admins" da floresta B. Isso é impossível, já que o grupo "Enterprise Admins" só pode ter membros na mesma floresta.

Em seguida, tentei adicionar um grupo intermediário à floresta B. A ideia é:

"Enterprise Admins" of A ==> Intermediate group ==> "Enterprise Admins" of B

No entanto, o único grupo que pode hospedar membros de outras florestas é um "grupo local", que não pode ser membro de nenhum outro tipo de grupo.

Então, estou preso aqui. É possível realizar essa tarefa?

active-directory

por M.S. Dousti 28.04.2013 / 08:29

1 resposta

Tags active-directory

Como obter mais desempenho de I / O do Citrix XenServer? Mudança de senha com linha de comando no NetBSD

score 3 · Accepted Answer

Infelizmente, isso é impossível; o grupo de administradores corporativos pode ser global ou universal no escopo, mas em qualquer caso, os objetos de segurança de outras florestas não podem ser adicionados. O único escopo que pode conter entidades de segurança de outras florestas é o escopo local do domínio, que nunca pode ser usado fora do domínio a que pertence. Isso inclui subgrupos e usuários.

No entanto, o grupo de administradores de cada domínio é um grupo local de domínio, portanto você pode adicionar o grupo de administradores corporativos da outra floresta ao grupo de administradores de cada domínio. Esta é provavelmente a operação tediosa que você estava tentando evitar, mas é a maneira mais fácil de conceder essa permissão.

Para referência, confira estes artigos de technet: