将域pipe理员权限授予父域成员

我们已经设置了一个子域，并希望从父域中授予用户在子域上的相同权限，以便授予Domain Admins组的成员。

因此，我们的设置如下所示：parent.mycompany.com：所有用户都存在的主域child.mycompany.com：用于开发的子域

我知道我们不能将用户从父域添加到子域中的域pipe理员组，因为它是一个无法更改的全局组。有没有办法让我在子域中创build域本地或通用组，然后为该组授予与域pipe理员组相同的权限？

或者让我从父域授予用户在子域上的权限的任何其他方式？

注意：所有域控制器正在运行WS2008并将域升级到WS2008function级别。

谢谢，琼

您可以将“父”域中的用户放入父域中的全局组中，然后将该全局组embedded到“子”域中的“pipe理员”域本地组中。这会给你你正在寻找的function（假设在子域上有一组AD权限）。 “pipe理员”在AD的所有权限中获得与“域pipe理员”相同的权限。

就股票的权限以及您创build的这些问题而言，这是您的问题。 >微笑<

编辑：

子域中的“BUILTIN \ Administrators”组与Active Directory中的“Domain Admins”组具有相同的Active Directory权限。您并不是在讨论Active Directory的权限，而是在讨论在成员计算机上的本地用户和组上执行的默认组嵌套。当我说“那是你的问题”时，你评论的那种东西就是我的意思。这也是一个容易解决的问题。

这是“受限制的群体”政策的工作！

因此，假设您要修改子域中域的本地“Administrators”组嵌套行为。

在子域的根目录下创build并链接一个GPO（实际上，首先将其链接到一个带有testing计算机的子OU，然后当你知道它正在工作时，将其链接到域的根目录）。
在该GPO中，打开“计算机设置”，然后打开“Windows设置”，“安全设置”和“受限制的组”。
右键单击“受限制的组”并执行“添加组”。
点击“添加组”对话框中的“浏览”，键入“pipe理员”（不是 “域pipe理员”或其他），然后点击“检查名称”和“确定”。点击“确定”closures“添加组”对话框。
在“pipe理员属性”对话框中，点击“此组成员”列表框旁边顶部的“添加”button。
点击“添加成员”对话框中的“浏览”，然后input“域pipe理员”，然后点击“查看名称”和“确定”。在“添加成员”对话框中，您会看到列出的“CHILDDOMAINNETBIOSNAME \ Domain Admins”。点击“确定”。
在“pipe理员属性”对话框中，再次单击“本组成员”列表框旁边顶部的“添加”button。
在“添加成员”对话框中单击“浏览”，然后键入您创build的父域中的全局组的名称，以保留在子域中获得“pipe理员”权限的用户。在点击“Check Name”之前，点击“Locations”，在“Locations”对话框中select你的父域，然后点击“OK”。然后点击“检查名称”和“确定”。在“添加成员”对话框中，您会看到列出的“您创build的PARENTDOMAINNETBIOSNAME \组名”。点击“确定”。

当此GPO适用于计算机时，其本地“pipe理员”组将自动embedded到其中的“CHILDDOMAINNETBIOSNAME \ Domain Admins”和“您创build的PARENTDOMAINNETBIOSNAME \ Group名称”组中。

添加全局组中的用户，然后添加Universal组中的全局组。转到子域添加本地域组中的用户，然后在该本地域组中添加来自父域的通用组。

意思是，从父域全球组将成为从同一个域的通用组的成员。而在子域中，本地域组将具有通用组（来自父域）作为其成员。