21.2 AD域2019：根域管理员默认可以管理子域

21.2 AD域2019：根域管理员默认可以管理子域

Enterprise Admins组

在父子域中，最重要的莫过于Enterprise Admins组了，并且该组只存在于林根域中，其成员有权管理林内的所有域，这是因为在添加子域后，Enterprise Admins组会自动添加到林中每个域中的Administrators组成员中。但是该组在其他域树中是不存在的，所以在子域中是看不到有Enterprise Admins组。

Enterprise Admins组在林中每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。

通用组、全局组、本地域组的区别

全局组：单域用户访问多域资源（必须是一个域里面的用户），可在林中的任何域中指派权限

通用组：多域用户访问多域资源，可在该域树或林中的任何域中指派权限

通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；

本地域组：多域用户访问单域资源（访问同一个域），只能在其所在域内指派权限。

以下命令是查看当前域中的GC

Enterprise Admins组是一个通用组：

根域控制器上可以管理子域：

如：根域管理员可以修改子域管理员的密码

（1）在根域服务器上先切换到子域的Active Directory用户和计算机

（2）根管理员远程重置子域管理员的密码

子域管理员可以远程连接到根域的AD目录，但是没有操作权限：

在域控制器上可以以其他用户身份运行AD目录

如：以根域管理员身份运行

AD域活动目录服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2468.html
WindowsServer2019 AD域服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2085.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html