Назад | Перейти на главную страницу

Междоменные / межлесные групповые политики

У нашей компании есть доменный лес с двумя доменами (domain.EMEA и domain.GLOBAL)

Ранее мы приобрели компанию (domain.LOCAL), и все рабочие станции на этом сайте являются членами domain.LOCAL, но пользователи являются членами domain.EMEA

Существуют односторонние доверительные отношения от domain.LOCAL к domain.EMEA и domain.GLOBAL.

Я работаю над миграцией пользователей из domain.EMEA в domain.GLOBAL, и для этого мне нужно временно сделать пользователей сайта администраторами своих рабочих станций.

Для этого я надеялся создать группу безопасности в domain.LOCAL, добавить пользователей с сайта и протолкнуть группу безопасности в группу локальных администраторов рабочих станций.

Однако я обнаружил, что все групповые политики, по-видимому, исходят из домена, членом которого является пользователь, даже если рабочие станции являются членами domain.LOCAL.

Может ли кто-нибудь указать мне в правильном направлении, чтобы объект групповой политики domain.LOCAL применялся к рабочим станциям domain.LOCAL, или, в качестве альтернативы, предложить другой способ сделать этих пользователей локальными администраторами.

Примечание. Из-за размера материнской компании создание и передача групповой политики в домен domain.EMEA или domain.GLOBAL чрезвычайно сложно и может занять много недель. Предпочтительнее работать через domain.LOCAL ...

Насколько я понимаю, я предполагаю, что это как-то связано с концепцией под названием «Режим кольцевой обработки» в Windows. Это четко проработано Вот. Вы могли найти похожую версию Вот также. Сообщите мне, работает ли это для вас или нет. Это также помогло бы мне лучше понять эту концепцию.