Gewähren von Domänenadministratorrechten für ein gesamtstrukturübergreifendes Benutzerkonto?


7

Kennt jemand eine Möglichkeit, einen Benutzer oder eine Gruppe in einer Gesamtstruktur [effektiv] dazu zu bringen, die Berechtigungen der Domänenadministratorgruppe in einer anderen Gesamtstruktur zu erwerben?

Der offensichtliche Ansatz der Zugabe Domain Admins@OneForestin Domain Admins@OtherForestist keine Option, weil die Gruppe Domänen - Admins eine globale Gruppe (und somit können nicht Mitglieder von anderen Wäldern haben , ist aufgrund des Umfangs der globalen Gruppen ).

Sie können das Domain Admins@OneForestzu einer domänenlokalen Gruppe OtherForesthinzufügen, aber dann können Sie keine domänenlokale Gruppe als Mitglied einer globalen (oder universellen) Gruppe hinzufügen, was bei diesem Ansatz zu einer Sackgasse zu führen scheint das Problem.

Ich bin auf eine teilweise Problemumgehung gestoßen (die ich abgetippt habe, werde ich als Antwort geben, um die Frage übersichtlich zu gestalten). Das Problem besteht darin, dass sie Administratorrechte auf Domänencomputern bietet, nicht jedoch die Domäne selbst - zum Beispiel nicht Das gesamtstrukturübergreifende Konto darf keine Gruppenrichtlinienobjekte bearbeiten.

Der andere Ansatz, den ich in Betracht gezogen habe und der im Grunde kein Glück bei der Recherche hatte, ist das Replizieren / Klonen / Duplizieren der Domain Admins-Gruppe (aber als domänenlokale Gruppe, damit sie Mitglieder von einer anderen Domain akzeptieren kann), aber ich kann nicht scheinen eine Ressource zu finden, welche Berechtigungen diese geklonte Gruppe benötigen würde und für welche Ressourcen. Angesichts der Tatsache, dass es keine triviale Aufgabe ist, festzustellen, über welche Berechtigungen eine bestimmte Active Directory-Gruppe verfügt , hatte ich gehofft, dass es eine Microsoft-Dokumentation zu den Berechtigungen der integrierten und Standardgruppen gibt, aber ich kann nur die Beschreibungen ihrer Berechtigungen finden , was mir nicht gut tut, wenn ich versuche, eine andere Gruppe so zu konfigurieren, dass sie übereinstimmt.

Lange Frage, kurz, weiß jemand, wie man Domänenadministratorrechte in einer Gesamtstruktur auf ein Konto aus einer anderen Gesamtstruktur anwendet?

Antworten:


5

Was ich entdeckt habe, dass ich hoffe, dass jemand anderes schlagen kann (indem diese Rechte für vorhandene Objekte gelten), ist:

  1. Stellen Sie eine ordnungsgemäße DNS-Kommunikation zwischen den beiden Gesamtstrukturen her.
    • In meinem Fall erforderte dies eine DNS-Delegierungszone und ordnungsgemäß konfigurierte bedingte Weiterleitungen.
  2. Erstellen Sie eine bidirektionale Gesamtstrukturvertrauensstellung mit gesamtstrukturweiter Authentifizierung .
  3. Fügen Sie die Domain Admins@OneForestGruppe der Builtin\Adminstrators@OtherForestGruppe hinzu.
    • Dadurch werden effektiv Berechtigungen auf Benutzerebene auf OtherForestDomänencomputern und Administratorrechte auf den Domänencontrollern für gewährt OtherForest.
  4. Erstellen Sie eine domänenlokale Gruppe in OtherForestund fügen Sie die Domain Admins@OneForestGruppe als Mitglieder hinzu.
  5. Erstellen Sie ein Gruppenrichtlinienobjekt / Gruppenrichtlinienobjekt, um die in Schritt 4 erstellte Gruppe zur lokalen Administratorgruppe auf allen Ihren Domänencomputern hinzuzufügen.
    • Bild des obigen GPP

Es stellt sich also heraus, dass ich zurückgeblieben bin. Auf diese Weise können gesamtstrukturübergreifende Domänenadministratoren erstellt werden, aber Berechtigungen sind nicht "rückwirkend". Viele der Standardobjekte in meiner Gesamtstruktur haben dieser Gruppe nicht die volle Kontrolle gewährt, neue jedoch. Lebe und lerne.
HopelessN00b

SCHRITT 4 kann nicht ausgeführt werden, da beim Hinzufügen der ONEFOREST-Gruppe der AD nur die OTHERFOREST-Domäne sieht.
JukEboX
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.