Администраторы предприятия не имеют прав администратора в дочернем домене

Я построил лес для тестирования, состоящий из корневого домена леса и двух дочерних доменов. Администраторы предприятия в корневом домене, похоже, не имеют прав администратора на рядовых серверах в дочерних доменах.

В Active Directory Домены и доверие доверяют транзитивным доверительным отношениям.

DCDiag не показывает ошибок.

Repadmin / showrepl не показывает ошибок и всех успешных аутентификаций.

DNS вроде работает нормально. Зоны реплицируются на все интегрированные DNS-серверы AD в лесу.

NLTest показывает, что все в порядке:

Но когда я вхожу на сервер-член дочернего домена в качестве корневого администратора предприятия (что работает нормально), я не получаю разрешения администратора:

Что еще я могу проверить?

1 ответ

Решение

Разрешения по умолчанию работают, как задумано. Администраторы предприятия не получают никаких разрешений администратора на рабочих станциях или рядовых серверах.

См. https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-b--privileged-accounts-and-groups-in-active-directory

Администраторы предприятия не имеют прав по умолчанию на рабочих станциях или рядовых серверах.

Администраторы домена также наследуют все права и разрешения, предоставленные группе администраторов домена и локальной группе администраторов во всех системах, присоединенных к домену.

Другие вопросы по тегам