Может ли локальная группа пользователей включать в себя группу домена в качестве члена?
Ситуация такова: на сервере 2012 установлена роль Hyper-V, вход в систему с правами администратора не может получить доступ к диспетчеру виртуальных машин из-за ошибки:
у вас нет необходимого разрешения
Я могу решить эту проблему, добавив пользователя в локальную группу «Администраторы Hyper-V», которая работает нормально, но я бы предпочел сделать это на уровне домена.
Так, например, могу ли я иметь группу администраторов домена \ Hyper-V, которая является членом локальной группы администраторов Hyper-V. Или, может быть, я могу как-то дать соответствующие разрешения для запуска VMM группе администраторов домена \ Hyper-V?
Локальные группы на компьютерах-членах домена могут иметь группы (глобальные, локальные или универсальные) из домена, вложенного в них. Создание группы «DOMAIN \ Hyper-V Administrators», безусловно, является жизнеспособной идеей.
Вам следует изучить возможность использования «Группы с ограниченным доступом», которые могут позволить вам выполнять вложение этой группы автоматически на присоединенных к домену хостах Hyper-V. Это хорошее HOWTO, хотя это не дает ясного представления о том, что вы действительно захотите использовать функциональность «Эта группа является членом» чаще, чем нет.
Да, вы можете добавить группу домена в локальную группу на компьютере, присоединенном к домену.
Да, вы можете вкладывать группы домена в локальные группы, и это действительно обычная практика: всякий раз, когда компьютер присоединяется к домену, группа «Администраторы домена» автоматически помещается в локальную группу «Администраторы»; так администраторы домена получают свои права на всех компьютерах, присоединенных к домену.