在Active Directory中的树域中添加企业ADMINS

我有一个顶级域控制器（DC1）在我的networking上运行顶级森林。我在林中添加了一个树域控制器（TDC1）作为一个新的域。我正在试图添加企业ADMINS到Active Directory中的新树。所以基本上DC1上的森林企业ADMINS组中的用户也是TDC1上的pipe理员。当我尝试从DC1向TDC1添加组或组时，它不允许我select另一个域来拉组。

是否有可能使树域上的企业ADMINS，域pipe理员，或者我必须重build用户是该域，以允许他们login到该域？或者我可以在森林级别DC1上创build一个组，并根据权限要求将该组添加到TDC1域中？

运行Windows Server 2016的所有服务器。

在将域添加到林时，在“Server 2016configurationpipe理器”部分中显示的编辑树域。在这里输入图像说明所以我正在给森林添加一个域名。在我的Active Directorypipe理中心客户端中，我可以将两个域添加到它以便从DC1pipe理它们。所以我有一个DC1域，这是一个办公室的工作领域。从DC1运行一个testing实验室和安全pipe理的TDC1域。我想我想知道，因为在DC1域我添加了一个pipe理组到企业领域是TDC1组pipe理？

除了相互连接的2个DC之外，networking并不相互连接。因此，来自DC1域用户的login无法在TDC1计算机上工作。

你的术语很混乱。你在一棵树里有两个域名，一个域名和一个孩子吗？或者你在同一个森林里的两棵树上有两个域名？

在这两种情况下，你不需要做你想做的事情。如果两个域都在同一个树中，或者如果它们是同一个森林中的两棵树，则会发现根域中的DomainAdmins组已经添加到子域中的Domain Local Administrators组中。如果它是您创build的独立树，则同样适用。

所以你默认的pipe理员帐户已经有两个例子中的pipe理员写入。这个链接上有一个表格，解释了这些组织是什么以及它们是如何嵌套在一起的：

https://technet.microsoft.com/en-us/library/cc700835.aspx

如果你已经创build了一个新的森林，那么你将不得不先创build一个森林信任，那么你将能够将你的pipe理员组从一个域添加到另一个域。