Как использовать член доверенного домена в GPO?

Question

Как использовать член доверенного домена в GPO?

У меня есть два тестовых домена и один доверяет другому.

В доверенном доменном объекте групповой политики мне нужно добавить группу из доверенного домена в группу пользователей удаленного рабочего стола, которая будет применяться ко всем объектам компьютера в доверяющем домене.

Однако, когда я пытаюсь добавить эту группу, я получаю эту ошибку: "выбранный объект не соответствует типу источника назначения". Тип группы - "локальный домен".

Есть ли способ создать объект групповой политики на доверяющем домене, используя группу из доверенного домена?

1

active-directory group-policy windows-server-2019 trust-relationship

Источник

sys 30 янв '19 в 11:38

1 ответ

Другие вопросы по тегам active-directory group-policy windows-server-2019 trust-relationship

Semicolon 30 янв '19 в 14:54 2019-01-30 14:54 · Answer 1 · 2019-01-30 14:54

Создайте универсальную группу в доверенном домене, добавьте в нее соответствующие объекты из доверенного домена.

Создайте локальную группу домена в доверенном домене, добавьте в нее доверенную универсальную группу.

Используйте объект групповой политики для назначения членства в локальной локальной группе домена в различных локальных группах пользователей удаленного рабочего стола в доверяющем домене.

Не пытайтесь использовать группу BUILTIN\Remote Desktop Users для этой задачи, так как это специальная область группы "Встроенная локальная". Используйте эти группы для разрешений, связанных с контроллером домена - если вы используете их вообще.

Более того, используя группу BUILTIN\Remote Desktop Users (которая аналогична локальной группе на всех контроллерах домена), вы, по сути, предоставляете доступ RDP для всех учетных записей в доверенном домене контроллерам домена вашего доверяющего домена. Это ужасная идея - и, вероятно, просто недосмотр.