@RoffDaniel

Как сделать администратором пользователя верхнего домена в дочернем не создавать отдельного?

Добрый день. Я впервые сталкиваюсь в работе с многодомным лесом. В интернете точного ответа для себя не нахожу. Есть домен domain.com, и дочерний c.domain.com. Скажите пожалуйста, есть ли возможность дать права администратора домена c.domain.com пользователю, который находиться в domain.com, где он так же является администратором домена? Авторизироваться на серверах, которые добавлены к c.domain.com я могу, указывая верхний домен, но прав у меня там нет. Да, я могу локально на каждом сервере в группу "Администраторы" добавить этого пользователя, но это, как по мне, костыль, что оставляет меня это делать на каждом сервере. Этого не хотелось бы делать

Спасибо
  • Вопрос задан
  • 148 просмотров
Решения вопроса 1
@Zerg89
Можете написать gpo которое прописывает группу или пользователя другого домена даже из другого леса в локальную группу администраторы, но потребуется настроить доверительные отношения между доменами
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Нужно использовать подходящие типы групп - global, universal и domain local, позволяющие иметь членов из другого домена\быть членами групп в другом домене. Доверительные отношения как уже заметили - необходимы.
Ответ написан
Комментировать
@NortheR73
системный инженер
Между корневым и дочерним доменами трасты по умолчанию включены.
Группа Domain Admins - глобальная группа, соответственно, она видит только собственный домен.

1. Создаём групповую политику, в которой пользователя из корневого домена добавляем, например, в группу локальных администраторов на компьютеры/серверы дочернего домена (restricted groups gpo).
2. Можно,как вариант, добавить этого пользователя в группу Enterprise Admins.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы