一个域“A”的pipe理员是否可以在同一个“开箱即用”的森林中的另一个域“B”中重置用户的密码?
我相信域pipe理员不可能像这样pipe理森林中的另一个域。 除非他使用一些非标准的,恶意的,公用事业和黑客。
任何人都可以确认吗?
不,Domain Admins无权pipe理forrest内的其他域。
这不是“开箱即用”的行为,至less不适用于“域pipe理员”组。
如果您拥有ad.mycompany.com的根域和子域child.ad.mycompany.com则来自任一域的域pipe理员都无法pipe理其他域。 但是,企业pipe理员组成员将能够pipe理子域。
但是,如果angular色分隔较小(例如,企业pipe理员与域pipe理员相同),那么设置此行为不一定会被视为恶意行为。 此外,您不需要使用“非标准实用程序和黑客”来完成此任务,而是将父域的域pipe理员组添加到企业pipe理员组中。
子域中的域pipe理员组成员仍然无权pipe理父域。