none
מחפש דרך להגדיר יוזר מדומיין אחד בקבוצת Domain Admin בדומיין אחר? RRS feed

  • שאלה

  • ביצעתי One Way Trust מדומיין A לדומיין B

    כך שכל המשתמשים בדומיין A יוכלו לבצע log in לדומיין B

    אני מעוניין לתת לחלק מהמשתמשים מדומיין A, הרשאת Domain Admin בדומיין B, בלי לשנות את ה Trust.

    העניין הוא שבדרך המקובלת הדבר לא ממש אפשרי כיוון שמייקרוסופט לא מאפשרת להוסיף יוזרים מדומיין מסויים כ Domain Admins בדומיין אחר.

    משיטוט ברשת הבנתי שישנם workarounds כלשהם להגבלה המובנית הזאת.

    אודה לכם או תוכלו לפתור לי את הפלונטר הקטן הזה.

    אגב מדובר על דומיין מבוסס סרבר 2012

    תודה.




    • נערך על-ידי dwade03 יום חמישי 26 דצמבר 2013 17:09
    יום חמישי 26 דצמבר 2013 17:07

תשובות

  • מצאתי Workaround

    ניתן לצערף את המשתמשים שאני מעוניין מדומיין A, לקבוצת Administrators בדומיין B

    הבעייה בקבוצה זו שהיא לא תאפשר למי שחבר בה להיות local admin על כל מכונה בדומיין,
    מה שכן מתאפשר ב Domain Admin
    ה workaround הוא להוסיף את המשתמשים מדומיין A לקבוצת administrators בדומיין B,
    ולהגדיר policy אשר מוסיף את קבוצת Administrators כ local admin בכל המכונות בדומיין.
    כך ניתן לעקוף את הבעייה.

    להסבר מורחב:
    http://jasonduffett.net/post/5448151233/administering-cross-forest-domains-with-a-single-login

    • סומן כתשובה על-ידי Eran Sharvit יום רביעי 01 ינואר 2014 10:14
    יום ראשון 29 דצמבר 2013 14:51

כל התגובות

  • שלום רב,

    אתה יכול לבצע Delegation של הרשאות:

    http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Implementing-Active-Directory-Delegation-Administration.html

    כמו כן, אני לא ממליץ להקנות הרשאות Domain Admin ולמשתמשים רגילים ללא סיבה מספקת וזאת מכיוון שמדובר בהרשאה גבוהה.

    בהצלחה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום חמישי 26 דצמבר 2013 19:53
  • תודה על התשובה יובל.

    האם ה Delegation מתגבר על המגבלה הזו?



    • נערך על-ידי dwade03 יום שני 30 דצמבר 2013 12:57
    יום שישי 27 דצמבר 2013 07:47
  • אכן, אתה יוצר קבוצה מתאימה ומוסיף אליה את המשתמשים מהדומיין השני. את ה Delegation אתה יכול להגדיר ברמת פרטנית ולהחיל אותו ברמת OU, דומיין וכדומה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום שישי 27 דצמבר 2013 11:54
  • רק בכדי שאבין: עליי ליצור קבוצה בדומיין B , להוסיף לה את המשתמשים מהדומיין בו נמצאים המשתמשים, ועבורה לבצע את ה Delegation?
    יום שישי 27 דצמבר 2013 13:38
  • שלום רב,

    עליך ליצור קבוצה גלובלאית\אוניברסלית, להוסיף לה חברים מתאימים ולאחר מכן להקנות הרשאות.

    http://technet.microsoft.com/en-us/library/cc781446(v=ws.10).aspx

    אם יעלה צורך לתת למשתמשים אפשרות לקבל הרשאות מלאות לתחנות, להלן מצ"ב מדריך בנושא:

    http://windowsmatters.com/2011/09/16/how-to-use-restricted-groups/ או

    http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/

    מומלץ בחום לבצע את השינוי בסביבת מעבדה תחילה.

    בהצלחה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14


    • נערך על-ידי Yuval Sinay יום שישי 27 דצמבר 2013 15:54
    יום שישי 27 דצמבר 2013 15:54
  • שלום.

    תקרא על מושג שנקרא:

    SID FILTERRING

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שישי 27 דצמבר 2013 21:50
  • אוקיי תודה על הפירוט אצור את הקבוצה בדומיין A ואבדוק את העניין
    שבת 28 דצמבר 2013 15:33
  • חברים,

    מצטער, אך אף אחת מהאפשרויות המוצעות כאן לא עובדת.

    בלתי אפשרי ליצור קבוצה בדומיין A ולשייך אותה ל קבוצת Domain Admin בדומיין B

    ייתכן שכוונתי לא הובנה כהלכה. לתת למשתמשים הרשאות Local Admin על כל מחשב ומחשב ב Policy, זה אין בעייה.

    אני רוצה שמשתמשים מדומיין A(או קבוצה כלשהי שחברים בה יוזרים) יהיו חברים בקבוצת Domain Admin בדומיין B.

    ב Delegation לא ממש ניתן לבצע זאת.

    ייתכן שהדבר לא אפשרי כלל?

    יום ראשון 29 דצמבר 2013 09:18
  • מצאתי Workaround

    ניתן לצערף את המשתמשים שאני מעוניין מדומיין A, לקבוצת Administrators בדומיין B

    הבעייה בקבוצה זו שהיא לא תאפשר למי שחבר בה להיות local admin על כל מכונה בדומיין,
    מה שכן מתאפשר ב Domain Admin
    ה workaround הוא להוסיף את המשתמשים מדומיין A לקבוצת administrators בדומיין B,
    ולהגדיר policy אשר מוסיף את קבוצת Administrators כ local admin בכל המכונות בדומיין.
    כך ניתן לעקוף את הבעייה.

    להסבר מורחב:
    http://jasonduffett.net/post/5448151233/administering-cross-forest-domains-with-a-single-login

    • סומן כתשובה על-ידי Eran Sharvit יום רביעי 01 ינואר 2014 10:14
    יום ראשון 29 דצמבר 2013 14:51
  • הי,

    כאשר עובדים עם Cross Forest ניתן לבצע שיוך של משתמשים מול קבוצות חפע מושג שנקרא AGDLP ומה שנאתה צריך ממנו והוא Nested Group.
    מכיוון שקבוצה מסוג Global אינה יכולה להיות משויכת ל-Global בדומיין שונה אתה צריך לבצע הגדרה שונה.
    אתה חייב להשתמש עם קבוצה מסוג Universal בכדי לצרף אותה ל-forest השני ומתוך אותה קבוצה להוסיף את הקבוצה שאתה צריך כגון: Domain Admins.

    תוכל להיעזר במאמר הבא http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx

    ובמאמר הבא של טווחי קבוצות http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx

    אלי.


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    יום ראשון 29 דצמבר 2013 15:39
  • הי.

    עדכן אותנו ואם אחת או יותר מן התשובות עזרה לך, אנא סמן אותן.

    תודה.


    מיקרוסופט מציעה שירות זה ללא תשלום, למטרת סיוע למשתמשים והעשרת הידע הקשור בטכנולוגיות ובמוצרים של מיקרוסופט. תוכן זה מתפרסם כפי שהוא והוא אינו מעיד על כל אחריות מצד מיקרוסופט.

    יום שני 30 דצמבר 2013 09:59
  • תודה אלי,

    האמת שעשיתי את כל המשחקים האפשריים שאני מכיר בכדי לגרום לקבוצה כלשהי מדומיין A להיות חברה ב Domain Admin של דומיין B

    אבל פשוט ללא הצלחה לצערי. עם Nested או בלי Nested, הדבר כנראה פשוט בלתי אפשרי.

    אם אתה מכיר דרך כזו אני יותר מאשמח לנסות אותה. ולא ממש משנה לי איך.

    מה שבטוח אתה תהיה הראשון ברחבי ברשת שכותב על פיתרון כזה, כי פיתרון כלשהו ברחבי הרשת אני עוד לא מצאתי.

    מה שכן מצאתי זה את הפיתרון שציינתי למעלה.

    המגבלה היחידה של הפיתרון שמצאתי היא על עריכת Group Policy Objects אשר לא נוצרו על ידם.

    אני עדיין מנסה להבין איך עוקפים את זה.


    יום שני 30 דצמבר 2013 12:08
  • הי.

    עדכן אותנו ואם אחת או יותר מן התשובות עזרה לך, אנא סמן אותן.

    תודה.


    מיקרוסופט מציעה שירות זה ללא תשלום, למטרת סיוע למשתמשים והעשרת הידע הקשור בטכנולוגיות ובמוצרים של מיקרוסופט. תוכן זה מתפרסם כפי שהוא והוא אינו מעיד על כל אחריות מצד מיקרוסופט.

    הי ערן,

    הנכונות של החבר'ה כאן לעזור באמת מדהימה, אך אף אחת מהתשובות לא פתרה לי את הבעייה, לכן קשה לי להצביע על אחת שעזרה לפיתרון הבעייה.

    הצבעתי עבור תשובות שקידמו אותי לעבר המטרה.

    יום שני 30 דצמבר 2013 12:55
  • הי,

    במידה והאפשרות של להוסיף את ה-Domain Admins של דומיין A ל-Adminsitrators המקומי בדומיין B לא עזרה ניתן להשתמש בטווחי הקבוצות ו-AGDLP.

    צרף משתמש לקבוצה גלובאלית > את הקבוצה הגלובאלית ליוניברסל > את היוניברסל לקבוצה לוקאלית >ואת אותה קבוצה לוקאלית אל קבוצת היעד שלך.

    עדכן במידה ולא עזר,

    אלי.


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    יום שלישי 31 דצמבר 2013 05:49
  • הי אלי,

    ביצעתי את כל השלבים.

    עם זאת, אני לא יכול לצרך את הקבוצה הלוקאלית מדומיין A אל קבוצת Domain Admin מדומיין B,

    כיוון שכאשר אני נגיש לקבוצת Domain Admin בדומיין B, ובוחר לצרף Members, אין לי

    בכלל את האפשרות של הוספת קבוצה מהדומיין השני(הוא ב trust), כיוון שהיא קבוצה גלובאלית.

    לכן אני לא בטוח שהבנתי את כוונתך. ואם כן, אז היא כנראה לא ישימה.

    יום שלישי 31 דצמבר 2013 09:23