在Active中的树域上添加企业管理员

Question

我有一个顶级域控制器(DC1)在我的网络上运行顶级林。我在林中添加了一个树域控制器(，TDC1)作为新域。我正在尝试将企业管理员添加到Active中的新树中。因此，从本质上说，DC1上林中的企业管理员组中的管理员也是TDC1上的管理员。当我尝试将组或组从DC1添加到TDC1时，它不允许我选择另一个域来拉出组。

是否有可能使企业管理员，域管理员在树域，或者我必须重做用户是该域，以允许他们登录到该域？或者，我可以在林级DC1上创建一个组，并根据权限要求将该组添加到TDC1域中吗？

所有运行Windows 2016的服务器。

在将域添加到林中时，编辑树域，如下面的Server 2016配置管理器部分所示。

所以我给森林添加了一个域。在我的Active管理中心客户端中，我可以向它添加两个域，以便从DC1管理它们。所以，我有一个DC1域，它是一个办公区域。TDC1域是一个测试实验室，安全性和管理都是从DC1上运行的。我想我想知道，因为在DC1域上，我向企业域添加了一个管理组，这是TDC1上的组管理吗？

所述网络相互连接，而不是所述两个DC相互连接。因此，来自DC1域用户的登录将不会在TDC1计算机上工作。

Answer 1

你的术语很混乱。您是在一棵树中有两个域，一个根域和一个子域，还是在同一林中的两个不同树中有两个域？

在任何一种情况下，你都不需要做你想做的事情。如果两个域位于同一棵树中，或者如果它们是同一林中的两棵树，则会发现根域中的DomainAdmins组已经添加到子域中的域本地管理员组中。如果它是您创建的一个单独的树，则同样适用。

因此，在这两个示例中，默认管理员帐户都已经有admin写了。在这个链接上有一个表解释了这些组是什么以及它们是如何相互嵌套的：

https://technet.microsoft.com/en-us/library/cc700835.aspx

但是，如果您已经创建了一个新的目录林，那么您必须先创建一个林信任，然后才能将您的管理员组从一个域添加到另一个域。