Как сделать администратором пользователя верхнего домена в дочернем не создавать отдельного?
Добрый день. Я впервые сталкиваюсь в работе с многодомным лесом. В интернете точного ответа для себя не нахожу. Есть домен domain.com, и дочерний c.domain.com. Скажите пожалуйста, есть ли возможность дать права администратора домена c.domain.com пользователю, который находиться в domain.com, где он так же является администратором домена? Авторизироваться на серверах, которые добавлены к c.domain.com я могу, указывая верхний домен, но прав у меня там нет. Да, я могу локально на каждом сервере в группу "Администраторы" добавить этого пользователя, но это, как по мне, костыль, что оставляет меня это делать на каждом сервере. Этого не хотелось бы делать
Можете написать gpo которое прописывает группу или пользователя другого домена даже из другого леса в локальную группу администраторы, но потребуется настроить доверительные отношения между доменами
Нужно использовать подходящие типы групп - global, universal и domain local, позволяющие иметь членов из другого домена\быть членами групп в другом домене. Доверительные отношения как уже заметили - необходимы.
Между корневым и дочерним доменами трасты по умолчанию включены.
Группа Domain Admins - глобальная группа, соответственно, она видит только собственный домен.
1. Создаём групповую политику, в которой пользователя из корневого домена добавляем, например, в группу локальных администраторов на компьютеры/серверы дочернего домена (restricted groups gpo).
2. Можно,как вариант, добавить этого пользователя в группу Enterprise Admins.
Простой
Средний
