Kennt jemand eine Möglichkeit, einen Benutzer oder eine Gruppe in einer Gesamtstruktur [effektiv] dazu zu bringen, die Berechtigungen der Domänenadministratorgruppe in einer anderen Gesamtstruktur zu erwerben?
Der offensichtliche Ansatz der Zugabe Domain Admins@OneForest
in Domain Admins@OtherForest
ist keine Option, weil die Gruppe Domänen - Admins eine globale Gruppe (und somit können nicht Mitglieder von anderen Wäldern haben , ist aufgrund des Umfangs der globalen Gruppen ).
Sie können das Domain Admins@OneForest
zu einer domänenlokalen Gruppe OtherForest
hinzufügen, aber dann können Sie keine domänenlokale Gruppe als Mitglied einer globalen (oder universellen) Gruppe hinzufügen, was bei diesem Ansatz zu einer Sackgasse zu führen scheint das Problem.
Ich bin auf eine teilweise Problemumgehung gestoßen (die ich abgetippt habe, werde ich als Antwort geben, um die Frage übersichtlich zu gestalten). Das Problem besteht darin, dass sie Administratorrechte auf Domänencomputern bietet, nicht jedoch die Domäne selbst - zum Beispiel nicht Das gesamtstrukturübergreifende Konto darf keine Gruppenrichtlinienobjekte bearbeiten.
Der andere Ansatz, den ich in Betracht gezogen habe und der im Grunde kein Glück bei der Recherche hatte, ist das Replizieren / Klonen / Duplizieren der Domain Admins-Gruppe (aber als domänenlokale Gruppe, damit sie Mitglieder von einer anderen Domain akzeptieren kann), aber ich kann nicht scheinen eine Ressource zu finden, welche Berechtigungen diese geklonte Gruppe benötigen würde und für welche Ressourcen. Angesichts der Tatsache, dass es keine triviale Aufgabe ist, festzustellen, über welche Berechtigungen eine bestimmte Active Directory-Gruppe verfügt , hatte ich gehofft, dass es eine Microsoft-Dokumentation zu den Berechtigungen der integrierten und Standardgruppen gibt, aber ich kann nur die Beschreibungen ihrer Berechtigungen finden , was mir nicht gut tut, wenn ich versuche, eine andere Gruppe so zu konfigurieren, dass sie übereinstimmt.
Lange Frage, kurz, weiß jemand, wie man Domänenadministratorrechte in einer Gesamtstruktur auf ein Konto aus einer anderen Gesamtstruktur anwendet?