Nossa empresa tem uma floresta de domínio com dois domínios (domain.EMEA e domain.GLOBAL)
Adquirimos anteriormente uma empresa (domain.LOCAL) e todas as estações de trabalho neste site são membros de domain.LOCAL, mas os usuários são membros de domain.EMEA
Existem relações de confiança unidirecionais de domain.LOCAL para domain.EMEA e domain.GLOBAL
Estou trabalhando na migração de usuários do domínio.EMEA para o domínio.GLOBAL e, para isso, preciso fazer temporariamente os usuários nos administradores do site de suas estações de trabalho.
Para fazer isso, eu esperava criar um grupo de segurança em domain.LOCAL, adicionar os usuários do site e empurrar o grupo de segurança para o grupo de administradores locais das estações de trabalho.
O que eu estou descobrindo é que todas as políticas de grupo parecem vir do domínio do qual o usuário é membro, mesmo que as estações de trabalho sejam membros do domínio.LOCAL.
Alguém pode me indicar na direção certa para fazer com que o domínio. GPOs locais se apliquem às estações de trabalho domain.LOCAL ou, alternativamente, sugira outra maneira de realizar esses administradores locais para esses usuários.
Observação: devido ao tamanho da empresa controladora, obter uma política de grupo criada e enviada em qualquer domínio.EMEA ou domain.GLOBAL é extremamente complicado e pode levar várias semanas para ser realizada. Trabalhar via domínio.LOCAL seria preferível ...
Pelo que entendi, acho que isso tem algo a ver com o conceito chamado "Modo de processamento de loopback" no Windows. Isso está claramente elaborado aqui . Você pode encontrar uma versão semelhante aqui também. Deixe-me saber se isso funciona para você ou não. Também ajudaria a entender melhor esse conceito.