在森林B的“企业管理员”组中添加森林A的“企业管理员”组
在森林B的“企业管理员”组中添加森林A的“企业管理员”组
提问于 2013-04-28 06:29:36
首先,我想指出,这个问题纯粹是理论性的。我要求它更好地理解Active Directory中不同组的性质。
因此,我创建了两个独立的Active Directory森林,比如森林A和森林B。此外,我手动在它们之间创建了一个双向传递的森林信任。现在,我想再尝试一件事:允许森林A中的任何企业管理员在森林B中执行任何管理任务。
为此,我考虑将森林A的“企业管理员”组添加到森林B的“企业管理员”组中。这是不可能的,因为“企业管理员”组只能在同一森林中拥有成员。
接下来,我尝试在森林B中添加一个中间组。
A ==>中间集团==>“企业管理员”的“企业管理员”
然而,唯一能够接纳其他森林成员的群体是一个“地方群体”,它不能成为任何其他类型森林的成员。
所以我被困在这里了。是否有可能完成这项任务?
回答 1
Server Fault用户
回答已采纳
发布于 2013-04-29 08:00:00
不幸的是,这是不可能的;企业管理员组可以是全局的,也可以是通用的,但是在这两种情况下,都不能添加来自其他林的安全主体。唯一可以包含来自其他林的安全主体的作用域是域本地作用域,它永远不能在它所属的域之外使用。这包括子组和用户。
但是,每个域的administrators组是一个域本地组,因此可以将企业管理员组从其他目录林添加到每个域的administrators组中。这可能是您试图避免的繁琐操作,但这是授予此权限的最简单方法。
如需参考,请参阅以下technet文章:
- 默认组及其范围
- 组范围语义的解释
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/503441
复制相关文章
相似问题
腾讯云开发者
