none
Права админа из одного домена в другой RRS feed

  • Общие обсуждения

  • Есть 2 домена, доверительные отношения 2-сторонние и транзитивные.
    Как дать права Администратора домена 1 на домен 2

    p/s с группами игрался что-то никак
    24 июня 2009 г. 8:29

Все ответы

  • С какими группами игрались? Может не правильно игрались?
    Я бы посоветовал сначала прочесть вот это http://support.microsoft.com/kb/231273

    а потом использовать правильный Group Nesting.
    http://www.lockergnome.com/it/2004/09/15/group-nesting-what-you-need-to-know-to-pass/


    сила в справедливости
    24 июня 2009 г. 8:37
  • А какие права дать нужно? Если хотите назначить его администратором домена, то создайте ему учетную запись в домене 2 и включите эту учетку в "Domain Admins" этого домена. Так будет правильно.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    24 июня 2009 г. 8:44
    Отвечающий
  • с группами то все понятно
    постараюсь описать что хочется

    2 домена Win2003 Native - между ними доверительные отношения

    На КД Домена1 создана учетка Adm  включенная в глобальную группу адм. Домена1
    Создать на КД Домена2 учетку Adm1 и включить ее глобальную группу адм. Домена2 не вопрос
    Но суть в том что я со своего компа через mmc(c добавлеными нужными оснастками для AD) под учеткой Adm (запутстить от имени) я запускаю консоль и работаю с Домен1

    В принципе если бы эту учетку - Adm можно было бы добавить в  глобальную группу адм. Домена2, то ИМХО я смог бы переключаясь между КД рулить 2 доменами, а так получается для каждого домена мне прийдется запускать отдельную оснастку!

    Вот такие вот хотелки
    24 июня 2009 г. 10:10
  • Ваши желания, и слава богу, не совпадают с тем, что рекомендует разработчик системы. Если бы "эту учетку - Adm можно было бы добавить в  глобальную группу адм. Домена2...", то это бы нарушило концепции архитектуры безопасности AD! Так что создавайте учетную запись во втором домене, отразив в ней имя входа и пароль администратора первого домена, включайте в "Domain Admins", и не мучайтесь.

    P.S. Не просто так разработчик "Domain Admins" создал глобальной. ;)
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    24 июня 2009 г. 10:28
    Отвечающий
  • Пользователей из доверяемых доменов можно включить только в группы типа Domain local. Т.к. группа Domain Admins является группой типа Global, то добавить туда пользователей из другого домена не получится. Поэтому рекомендую воспользоваться советом Дмитрия Пономарева - создать пользователя с таким же логином и паролем как в доверяемом домене и добавить его в группу Domain Admins. Авторизация будет прозрачной даже и без доверия.
    24 июня 2009 г. 10:46
  • Спасибо за разъяснения!!!   :-))
    24 июня 2009 г. 11:17