Quelqu’un connaît-il un moyen de faire [effectivement] acquérir à un utilisateur ou groupe d’une forêt les privilèges du groupe Administrateurs de Domaine d’une autre forêt ?
L’approche évidente d’ajouter Domain Admins@UneForêt dans Domain Admins@AutreForêt n’est pas possible, car le groupe Administrateurs de Domaine est un groupe Global (et donc ne peut pas avoir de membres d’autres forêts, en raison de la portée des groupes Globaux).
Vous pouvez ajouter Domain Admins@UneForêt dans un groupe local de domaine dans AutreForêt, mais ensuite vous ne pouvez pas ajouter un groupe local de domaine comme membre d’un groupe Global (ou Universel), ce qui semble aboutir à une impasse avec cette approche du problème.
J’ai trouvé une sorte de contournement partiel (qu’ayant rédigé, je mettrai comme réponse pour alléger la question), le problème étant qu’il fournit des droits administratifs sur les ordinateurs du domaine, mais pas sur le domaine lui-même – par exemple, il ne permet pas au compte inter-forêts de modifier les GPO.
L’autre approche que j’ai envisagée, et pour laquelle je n’ai eu pratiquement aucun succès dans mes recherches, est de répliquer/cloner/dupliquer le groupe Administrateurs de Domaine (mais en tant que groupe local de domaine, afin qu’il puisse accepter des membres d’un autre domaine), mais je n’arrive pas à trouver de ressource sur les permissions que ce groupe cloné devrait avoir, et sur quelles ressources. Étant donné qu’il n’est pas trivial de déterminer quelles permissions un groupe Active Directory donné possède, j’espérais qu’il y aurait une documentation Microsoft sur les permissions des groupes intégrés et par défaut, mais tout ce que je trouve, ce sont les descriptions de leurs permissions, qui ne m’aident pas à configurer un autre groupe à l’identique.
En résumé, quelqu’un sait-il comment appliquer les privilèges d’administrateur de domaine d’une forêt à un compte d’une autre forêt ?