创build一个安全组，可以将成员服务器升级到域控制器，而不必进入域pipe理员组

我试图找出一种方法来委派一个安全组的权限来将域控制器添加到域。 问题是我不想将它们添加到域pipe理员或企业pipe理员组中。 有没有人试过这个，你做了什么来成功地实现它？

我试图完成的是这个https://technet.microsoft.com/en-us/library/cc773327%28v=ws.10%29.aspx

我将所有权利授予我已经完成的特定安全组。 问题是我不希望这些pipe理员有域pipe理员权限来添加机器，用户和ou的，这是他们如果我将它们添加到域pipe理员组。 我已经尝试使用受限制的组..安全委派，但无论如何，允许他们添加副本到域的唯一方法是给他们域pipe理员权限。 完美世界将..把组“安装任务”在服务器的pipe理员组中，但不要与该域名的pipe理员关联…希望这是有道理的。

用户必须是正在升级的成员服务器上的Administrators组的成员。

• 通过cmdline远程添加logging到Windows AD DNS？
• 在将计算机join域之前，将计算机添加到AD是否有任何问题？
• 通过Power Shell脚本更改AD用户属性
• 这个帐户的密码现在不能更改？
• 目录服务耗尽了相对标识符池

必须预先创buildCN = Partitions，CN = Configuration，DC =下的crossRef对象

CN = Servers，CN =，CN = Sites，CN = Configuration，DC =的可inheritanceRP

CN = Servers，CN =，CN = Sites，CN = Configuration，DC =的可inheritanceCC

CC OU =域控制器，DC =创build计算机对象

完全控制正在升级的服务器的计算机对象

对CN =，CN = Sites，CN = Configuration，DC =的“创build者所有者”完全控制

在CN = Configuration，DC =上扩展了正确的DS-Replication-Get-Changes

在CN = Schema，CN = Configuration，DC =的情况下扩展了正确的DS-Replication-Get-Changes

在CN = Configuration，DC =上扩展了正确的DS-Replication-Get-Changes-All

在CN = Schema，CN = Configuration，DC =的情况下扩展了正确的DS-Replication-Get-Changes-All

在CN = Configuration，DC =上扩展权限DS-复制 – pipe理 – 拓扑

CN = Schema，CN = Configuration，DC =的扩展权限DS-复制 – pipe理 – 拓扑

在CN = Configuration，DC =上扩展了右键DS-Replication-Monitor-Topology

在CN = Schema，CN = Configuration，DC =的情况下扩展了正确的DS-Replication-Monitor-Topology

在CN = Configuration，DC =上扩展正确的DS-复制 – 同步

在CN = Schema，CN = Configuration，DC =上同步扩展权限DS-复制 – 同步