Доверительные отношения доменов - права администратора в другом домене

Итак, затронем тему доверительных отношений доменов Active Directory и покопаемся в теме - как для администратора одного домена дать права доменного админа другого домена.

Имеем:

• Домен 1 (Domain1).
• Домен 2 (Domain2).
• Настроенные транзитивные доверительные отношения между этими двумя доменами.

Наша задача - будучи администраторами в одном домене (Domain1) получить права доменных администраторов во втором домене (Domain2). Таким образом, работая на компьютере, находящимся в домене Domain1, под учеткой домена Domain1, Вы сможете рулить серверами и компьютерами домена Domain2, заходить на их административную шару, получать безоговорочный доступ по RDP как администратор и автоматически иметь права локального администратора машинок из домена Domain2. Причем не имея учетки в Domain2.

Таким образом, если Вы являетесь администратором некоего холдинга с несколькими доменами (в начальном случае - двух доменов) Вы сможете ходить на компьютеры других доменов и рулить ими так же, как и компьютерами собственного домена.


Начнем.

1) Создадим в Domain1 группу безопасности, в которую включим все учетные записи, которые следует считать доменными администраторами в Domain2. Назовем ее "Администраторы из Domain1".

Как частный случай: если мы хотим, чтобы все доменные администраторы Domain1 имели права доменных администраторов в Domain2: создаем группу "Администраторы из Domain1" и включаем в нее группу "Domain admins" (или "Администраторы домена", если домен создан на русском языке).


2) Даем группе "Domain1\Администраторы из Domain1" права в Domain2.

Для этого открываем оснастку "Active Directory Пользователи и компьютеры" на контроллере домена Domain2, переходим в раздел "Builtin" и находим группу "Administrator" (Администраторы). Открываем ее и добавляем в нее группу "Domain1\Администраторы из Domain1". Таким образом мы говорим контроллерами домена Domain2 о том, что наши перцы из Domain1 являются администраторами.

ЗЫ. Добавить группу "Domain1\Администраторы из Domain1" сразу в группу "Domain2\Domain admins" (Domain2\Администраторы домена) НЕЛЬЗЯ! Потому и танцуем с бубном.


3) В домене Domain2 создаем группу безопасности (локальную, не глобальную), в которую включим группу "Domain1\Администраторы из Domain1". Назовем ее "Администраторы Domain2".

В будущем, кстати, если нужно давать права на управление сразу из нескольких доменов, то достаточно будет изменить только эту группу - и автоматически все случится.

Помимо группы "Domain1\Администраторы из Domain1" в данную созданную группу можно так-же внести и свою собственную "Domain2\Domain admins" (или "Domain2\Администраторы домена" в русской версии).


4) Создаем групповую политику

Дело в том, что мало прописать группу "Domain1\Администраторы из Domain1" в "Builtin\Администраторы" - это даст только права на самих контроллерах домена. Нужно еще объяснить обычным компам и серверам, что мы хотим их админить.

Чтобы замутить такое - нужно открыть редактор групповых политик домена Domain2 и создать новую политику. Расположим ее в домене Domain2 и в качестве фильтра оставим по-умолчанию "Прошедшие проверку" - тогда политика будет распространяться на все компьютеры и сервера в домене Domain2.

4а) Открываем редактор групповых политик Domain2 (как именно он открывается зависит от версии Windows Server - для 2008 - это Пуск->Администрирование->Управление групповой политикой; для 2003 - это отдельное, скачиваемое с Microsoft приложение с названием вроде "Group Policy Editor" или типа того, уже не помню).
4б) Создаем новую политику и размещаем в контейнере Domain2.
4в) Открываем ее на редактирование и идем в:
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
4г) Создаем новый элемент, в котором указываем:
Действие: Обновить
Имя группы: Администраторы (втроенная учетная запись)
Жмете на "Добавить" и добавляем группу "Domain2\Администраторы Domain2".

Закрываем все через ОК - и все, с групповой политикой мы закончили.


5) Теперь придется подождать - пока все компьютеры и серверы обновят групповую политику. После этого в их локальной политике безопасности появится запись о том, что группу "Domain2\Администраторы Domain2" нужно считать локальными администраторами, а в данной группе находятся пользователи из группы "Domain1\Администраторы из Domain1", и, соответственно, администраторы Domain1 получают административный доступ как к машинкам из домена Domain2, так и к управлению учетными записями Domain2.


ЗЫ. Но вот групповыми политиками у себя по данной схеме оно рулить не дает. Вероятно, но еще в какую-то Builtin группу включать по примеру п.2. Я пока не выяснял - мне оно не горит. Выясню - допишу.