none
Не могу добавить пользователей из другоу домена в группы первого домена. RRS feed

  • Вопрос

  • Ситуация такая. Есть лес w2003

    Есть корневой домен test.ru

    Есть дочерние домены of1.test.ru и of2.test.ru

    Так вот, не могу добавить к примеру никого в группу "Администраторы домена" of1.test.ru  из соседнего домена of2.test.ru и даже из КОРНЕВОГО домена! По причине - когда выбираю в оснастке "выбор пользователя" другой домен остаются только следующие типы объектов "Контакты" и "Другие объекты". А вот объект "Пользователи"  пропадает.

     

    Тип доверия между родителем и дочерним доменом созданный по умолчнаию - "Родительский-дочерний"

     

    В чем причина ??

Ответы

  •  

    УРААА победил с Вашей помощью. На протяжении пары месяцев подходил к этой проблеме, но не решив ее бросал Smile

    Ошибка был вот в чем :

    Создал лок группу в дочеренем домене. Добавил в нее пользователя из корневого домена.

    Зашел в настройки политик домена - конфиг. компьюетра -> Кони-я виндовс -> Парм-ы безопасности - > Группы с ограниченным доступом.

    Там добавил группу

     где членны этой группы - пользователь из корневого домена

     И эта группа является членом в Администраторах       (Не домена !!!сперва я указал обе группы, но пока не удалил вторую ничего не работало)

Все ответы

  • Группа Domain Admins - глобальная, поэтому вы можете добавлять в нее пользователей только из своего домена.

    Модератор
  • хм...

    как тогда мне добавить пользователей из корневого домена, в администраторы дочерних доменов ?

     

  • Воспользуйтесь универсальной группой Enterprise Admins, либо в каждом домене есть встроенная группа Administrators (доменная локальная). Вот в них можно добавлять пользователей из других доменов. Кстати, Enterprise Admins уже является членом групп Administrators в каждом домене. Обратите внимание, что, по умолчанию, если пользователь является членом группы Enterprise Admins, это дает ему административные права в других доменах на домен-контроллеры, но не на рядовые серверы и рабочие станции.

     

    Модератор
  • тааакс ... а мне как раз надо что бы пользователь из корневого домена был не просто администратором дочернего домена, но и имел администраторские права на раб.станции дочернего домена.

    Как быть ?? Спасайте !! Smile

     

  • Тоже ничего сложного.

     

    Используйте в дочернем домене групповую политику Restricted Groups. Создайте в этом домене доменную локальную группу, включите в нее пользователя из другого домена и с помощью политики укажите, что данная доменная локальная группа должна быть членом локальных групп Administrators на всех компьютерах в выбранном OU или в домене. Этим вы избежите ручной настройки членства локальных групп Administrators.

     

    Модератор
  •  

    мне уже стыдно спрашивать.. Smile но в какой ветке политики домена  эта политика (Restricted Groups)  находится + у меня русская Windows2003.
  • У меня нет перед глазами домен-контроллера с русским сервером, но, думаю, найдете.

     

    Computer Configuration/Windows Settings/Security Settings/Restricted Groups

     

    Все же рекомендую не применять политику к домену, а создать OU, добавить в это OU несколько компьютеров и настроить в нем указанную групповую политику. Если не хотите ожидать автоматического применения политики, то на каждом из компьютеров выполните (под административной учетной записью)

     

    gpupdate /force

     

    Если все отработает правильно, то можно будет распространить эту политику на уровень домена.

     

    Также см. http://support.microsoft.com/kb/279301

     

     

    Модератор
  •  

    таакс с группой разобрался, но ситуаци. это не изменило

     

    Создал лок группу в дочеренем домене. Добавил в нее пользователя из корневого домена.

    Зашел в настройки политик домена - конфиг. компьюетра -> Кони-я виндовс -> Парм-ы безопасности - > Группы с ограниченным доступом.

    Там добавил группу

     где членны этой группы - пользователь из корневого домена

     И эта группа является членом в Администраторах домена

     

    Но все-равно   заходя на раб.станции в дочеренм домене учтекой из корневого домена, админских правх нет..

    что не так ?

  •  

    забыл написать. Рабочую станцию даже целиком перегрузил.
  • Групповая политика должна примениться. Выполните gpupdate /force на рабочей станции, с помощью gpresult проверьте, что созданная вами политика действует на рабочую станцию. Посмотрите членство локальной группы Administrators, есть ли там созданная вами группа. И еще, если у вас рабочие станции русские, то название группы администраторов в политике следует писать по-русски.

     

     

    Модератор
  •  

    УРААА победил с Вашей помощью. На протяжении пары месяцев подходил к этой проблеме, но не решив ее бросал Smile

    Ошибка был вот в чем :

    Создал лок группу в дочеренем домене. Добавил в нее пользователя из корневого домена.

    Зашел в настройки политик домена - конфиг. компьюетра -> Кони-я виндовс -> Парм-ы безопасности - > Группы с ограниченным доступом.

    Там добавил группу

     где членны этой группы - пользователь из корневого домена

     И эта группа является членом в Администраторах       (Не домена !!!сперва я указал обе группы, но пока не удалил вторую ничего не работало)