首先,我想指出这个问题纯粹是理论上的。 我要求它能更好地理解Active Directory中不同组的性质。
所以,我创build了两个单独的Active Directory森林,比如说森林A和森林B.另外,我手动在它们之间创build了一个双向传递森林信任。 现在,我想尝试一件事情:允许林A中的任何企业pipe理员在林B中执行任何pipe理任务
为此,我想将forest A的“Enterprise Admins”组添加到林B的“Enterprise Admins”组中。这是不可能的,因为“Enterprise Admins”组只能在同一个林中有成员。
接下来,我试图给森林B添加一个中间组。这个想法是:
B的“企业pipe理员”==>中间组==>“企业pipe理员”
但是,唯一可以担任其他森林成员的团体是“本地团体”,不能成为任何其他types团体的成员。
所以,我被困在这里。 有可能完成这个任务吗?
不幸的是,这是不可能的。 企业pipe理员组的范围可以是全局的或通用的,但是无论哪种情况,其他森林的安全主pipe都不能添加。 唯一可以包含来自其他森林的安全主体的作用域是域本地作用域,它永远不能在它所属的域之外使用。 这包括子组和用户。
但是,每个域的pipe理员组都是域本地组,因此可以将其他林的企业pipe理组添加到每个域的pipe理员组。 这可能是您试图避免的繁琐操作,但这是授予此权限的最简单方法。
作为参考,请查看这些technet文章: