Intereting Posts
nginx可以在接口websocket时设置'Origin'头部吗?
带两个防火墙的DMZ设置 – 从DMZ到LAN和LAN到DMZ的通信
Adaptec HostRaid RAID1硬盘容量的1/2
Cisco命令输出redirect到本地文件
删除OWA httpsredirect
configurationapache服务于2站点,但使用1 /相同的图像目录
导出Windows Serverconfiguration到PowerShell脚本?
如何正确恢复备份?
Windows静态路由不工作
使用Kerberos票证访问WebDAV
查找使用NTFS组的位置
nginx uLimit'worker_connections超过打开的文件资源限制:1024'
使用docker(在OS X内部的stream浪者)获取“无法创build/写入文件'/ var / lib / mysql / is_writable'
robocopy镜像,但不要使用时间戳
启用Apache模块时TTFB慢
授予跨林用户帐户的域pipe理员权限?
有谁知道一种方式来[有效]让一个用户或组在一个森林中获得另一个森林中的域pipe理员组的权限?
将Domain Admins@OneForest添加到Domain Admins@OtherForest显然不是一种select,因为Domain Admins组是一个全局组(因此, 由于Global组的作用域,不能有其他林的成员) 。
您可以将Domain Admins@OneForest添加到Domain Admins@OneForest的域本地组中,但是不能将域本地组添加为Global(或Universal)组的成员,这似乎会导致死锁 -最终使用这种方法来解决问题。
我遇到了一些部分的解决方法(已经input了,我将把它作为解决问题的答案),问题是它提供了对域计算机的pipe理权限,而不是域本身 – 例如,它没有不允许跨林帐户编辑GPO。
- 我如何创build一个只读访问通过SSH到有限的子树的文件夹?
- 在SQL Server 2008中更改数据库所有者; CLR问题取决于使用的方法?
- 安全性:无法显示当前所有者
- 如何拒绝Web访问某些文件?
- svn不会接受我的无效证书
我考虑过的另一种方法,基本上没有研究的运气是复制/克隆/复制Domain Admins组(但是作为一个域本地组,所以它可以接受来自另一个域的成员),但是我不能似乎find了这个克隆组需要什么权限的资源,以及哪些资源。 看到如何确定给定的Active Directory组的权限是不是一件容易的事情 ,我希望有一些关于内置和默认组拥有什么权限的微软文档,但是我能find的只是他们权限的描述 ,这对我尝试configuration另一个组进行配对没有帮助。
长的问题,有谁知道如何将一个森林的域pipe理员权限应用到另一个森林的帐户?
我发现,我希望别人可以击败(通过使这些权利适用于现有的对象)是:
- 在两个森林之间build立适当的DNS通信。
- 在我的情况下,这需要一个DNS委托区域和正确configuration的条件转发器。
- 使用全森林authentication创build双向森林信任 。
- 将
Domain Admins@OneForest组添加到Builtin\Adminstrators@OtherForest组。- 这有效地授予了
OtherForest域计算机上的用户级别权限,以及在OtherForest域控制器上的pipe理权限。
- 这有效地授予了
- 在
OtherForest创build一个域本地组,并将Domain Admins@OneForest组作为成员添加到它。 - 创buildGPO / GPP以将在步骤4中创build的组添加到所有域计算机上的本地pipe理员组。
-
