Междоменная / межлесная групповая политика

Question

Междоменная / межлесная групповая политика

У нашей компании есть доменный лес с двумя доменами (domain.EMEA и domain.GLOBAL)

Ранее мы приобрели компанию (domain.LOCAL), и все рабочие станции на этом сайте являются членами domain.LOCAL, но пользователи являются членами domain.EMEA.

Существуют односторонние трасты от домена.LOCAL до домена. EMEA и домена. GLOBAL.

Я работаю над переносом пользователей из домена.EMEA в домен.GLOBAL, и для этого мне нужно временно сделать пользователей администраторами сайтов своих рабочих станций.

Для этого я надеялся создать группу безопасности в domain.LOCAL, добавить пользователей с сайта и отправить группу безопасности в группу локальных администраторов рабочих станций.

Однако я обнаружил, что все групповые политики, похоже, поступают из домена, членом которого является пользователь, даже если рабочие станции являются членами домена.LOCAL.

Может ли кто-нибудь указать мне правильное направление, чтобы домен.LOCAL GPO применялся к рабочим станциям domain.LOCAL, или, в качестве альтернативы, предложил другой способ сделать этих пользователей локальными администраторами.

Примечание. Из-за размера материнской компании создание групповой политики, созданной и выдвинутой в domain.EMEA или domain.GLOBAL, чрезвычайно сложно и может занять много недель. Работа через домен.LOCAL будет предпочтительнее...

1

active-directory windows-server-2008 group-policy cross-domain

Источник

BParker 05 янв '15 в 08:46

1 ответ

Решение

Другие вопросы по тегам active-directory windows-server-2008 group-policy cross-domain

serverstackqns 13 янв '15 в 05:36 2015-01-13 05:36 · Accepted Answer · 2015-01-13 05:36

Насколько я понимаю, я думаю, это как-то связано с концепцией "Режим обратной петли" в Windows. Это четко разработано здесь. Вы можете найти аналогичную версию и здесь. Дайте мне знать, работает ли это для вас или нет. Это также помогло бы мне лучше понять эту концепцию.