TOPIC:

这是我的广告结构：
[代码：1]
公司。本(Forest Root)
| --- corp.company.local.local.local.(Parent Domain)
- | | ---- Bus.Corp.Company.local(Child Domain)
---- | ---- dev.corp.company.local(Child Domain)
---- | ---- mkt.corp.company.local(Child Domain)
[/ code：1]
好的，所以问题是，域管理员（不是企业管理员）是否有3个孩子域上的域管理员权限，或者必须明确授予吗？

我意识到这个广告架构很糟糕，但它超出了现在改变的点。由于某些SOX要求，提出了这个问题。

嗯，我认为答案是没有的，但我在这里被几个同事们不同意。我的意见来自这些报价：

域管理员组的成员被授予对域中所有对象的完全控制访问权限。如果组织的一部分不希望被域管理员组成员组成的数据，则可以创建另一个域并向组织的这些成员提供管理控制

和

授予域中的组和用户的任何管理权限只在该域中有效。例如，默认情况下，域管理员组将授予对域的完全控制访问权限。该组的成员无法管理其他域名，在其中不在域管理员组中

（从“描述Active Directory组件”由Neall alcott引用。样本章节由SAMS提供。日期：2002年5月17日 www.samspublishing.com/articles/article .......:p=26896&seqNum=3)

然而，我的同事们正在争论，因为在创建一个子域时，父域与子域之间会自动创建双向传递信任，然后否定我的参数！

每次在林中创建新域时，在新域及其父域之间都会自动创建双向传递关系关系。如果子域添加到新域中，则信任路径向上流过扩展新域与其父域之间创建的初始信任路径的域层次。

传递信任关系通过域树向上流动，在形成时，在域树中的所有域之间创建传递信任。

身份验证请求遵循这些信任路径，因此林中任何域的帐户可以在林中的任何其他域中进行身份验证。使用单个登录过程，具有适当权限的帐户可以访问林中任何域中的资源。有关更多信息，请参阅身份验证协议概述。

该图显示域中的域中的所有域以及域1树中的所有域都具有默认情况下具有传递信任关系。因此，域中的用户在树中可以访问域1树中的域中的资源1树和域1树中的用户可以访问域中的资源， 在资源处分配适当的权限时.

从 Technet2.microsoft.com/windowsserver/en/...4e5ac007ba41033.mspx.

我认为线索处于下划线的位 - 必须定义资源。因此，他们需要首先添加到管理员组中

但是我可能是错的！我们将在抵达办事处确认办公室时咨询Jedi委员会，除非任何人都可以解决这个问题

Hi

我自己和主教们担任他的回复。我们认为我们有正确的答案。至少这就是我们在技术网上找到的东西。但就像他说的那样，我们将等待Jedi理事会的其他地方，并在那里辩论问题。我现在只有一个帕瓦兰，主教是我的教练，或通常我必须遵守他的决定（通常 )

域名

视窗2000或Windows Server 2003域是管理边界。管理权限不会跨域边界流，也不会通过Windows 2000或Windows Server 2003域树流下来。

例如，如果您有带有域A，B和C的域树，其中A是B和B的父域是C的父域，则域A中具有管理权限的用户在B中没有管理权限，在域B中没有行政权利的用户在域C中具有行政权利。在给定域中获取行政权利，更高的权限必须授予它们。但是，这并不意味着管理员不能在多个域中具有管理权限;它只是意味着必须明确定义所有权利。

来源： support.microsoft.com/kb/310997/EN-US/

我还会在主教，石化和死神颈的意见上同意，这也基于我迄今为止所阅读的内容：

什么是域名？

域是您创建的逻辑目录组件，以管理组织的管理要求。逻辑结构基于组织的行政要求，例如行政权限的代表团，以及运营要求，例如控制复制的需要。通常，域用于控制域数据的森林复制中的位置，并且组织单位用于进一步将网络对象组织成逻辑层次结构并将控制委托给适当的管理支持人员。

域也可以定义为：
•森林内的容器
• 政策单位
•复制单位
• 身份验证和授权边界
•信托单位

每个域都有一个域管理员组。域管理员完全控制域中的每个对象。这些管理权限仅在域中有效，不会传播到其他域。

域名作为政策单位

域在森林内定义了一个范围或单位的政策。某些策略设置仅适用于域的范围，即策略设置是域范围的。例如，帐户策略均匀应用于域中的所有用户帐户。虽然域名不是可以分配的最小策略单位（可以分配给组织单位的策略），但是在分割位于不同地理位置的部门和子公司之间的行政职责时，它是最常用的单位。如下图所示，您可能需要创建多个域以在林中域之间提供策略方差（请参阅图中的源）。域也被认为是一个访问控制的单位，因为它可以用于需要一般自主的业务组。
[/引用]


域仍然具有甚至在森林内与其他域分开的唯一性，并且由明确定义的边界置于边界。

我还会在主教，石化和死神颈的意见上同意，这也基于我迄今为止所阅读的内容：

什么是域名？

域是您创建的逻辑目录组件，以管理组织的管理要求。逻辑结构基于组织的行政要求，例如行政权限的代表团，以及运营要求，例如控制复制的需要。通常，域用于控制域数据的森林复制中的位置，并且组织单位用于进一步将网络对象组织成逻辑层次结构并将控制委托给适当的管理支持人员。

域也可以定义为：
•森林内的容器
• 政策单位
•复制单位
• 身份验证和授权边界
•信托单位

每个域都有一个域管理员组。域管理员完全控制域中的每个对象。这些管理权限仅在域中有效，不会传播到其他域。



域名作为政策单位

域在森林内定义了一个范围或单位的政策。某些策略设置仅适用于域的范围，即策略设置是域范围的。例如，帐户策略均匀应用于域中的所有用户帐户。虽然域名不是可以分配的最小策略单位（可以分配给组织单位的策略），但是在分割位于不同地理位置的部门和子公司之间的行政职责时，它是最常用的单位。如下图所示，您可能需要创建多个域以在林中域之间提供策略方差（请参阅图中的源）。域也被认为是一个访问控制的单位，因为它可以用于需要一般自主的业务组。

域仍然具有甚至在森林内与其他域分开的唯一性，并且由明确定义的边界置于边界。

来源：

technet2.microsoft.com/windowsserver/en/...8821d45bcc71033.mspx.