Разграничение прав а Active Directory
 

Добрый день.
Помогите мне пожалуйста с один вопросом.
Задача стоит такая:
1. Надо создать глобальную группу, н/р Application Admins включить ее в локальную группу Administrators (Builtin)
2. Включить пару пользователей в созданную группу, пользователи имеют права Domain Admins
3. Исключить данных пользователей из группы Domain Admins, при этом они не должны терять данные права и не должны прямо явно входить в группу Domain Admins, а должны входить в группу Domain Admins через свою группу Application Admins.

Как это реализовать?

так вы уже всё написали:
Создаёте группу Application Admins, её включаете в группы Domain Admins и Administrators.

Дело в том, что группу Application Admins создаю, но не получается ее включить в Domain Admins, в локальную групп Administrators включаю, но при этом уч.записи которые входят в Application Admins имеют ограниченные права, а мне нужно чтобы у них были права администратора домена. (эти уч. не должны быть в списке пользователей входящих в группу Domain Admins)

А зачем такие выверты? Для того, чтобы были "скрытые" администраторы домена?

Вот такое вот задание у меня.
Можете подсказать так как все таки можно глобальную группу Application Admins включить в Domain Admins?
Может есть какие-то варианты?

почему не получается ? Какая ошибка ?

Элементарно. Никаких препятствий нет.

Чтобы в одну глобальную группу можно было добавить другую глобальную группу, домен должен работать в режиме 2000-native или выше (2003 interim и 2000 mixed не подходит).

Заодно у Вас должны быть права для включения в группу Domain Admins.

Для включения указанной глобальной группы в локальную Built-in (на ПК домена) группу Администраторов можно использовать групповую политику, однако это не имеет смысла, т.к. эта группа уже будет входить в Domain Admins, которая автоматом добавляется в локальную группу Админов при включении ПК в домен... это может иметь смысл, если Вы хотите жестко контролировать вхождение в локальную группу (на случай, если местный админ попытался удалить :)).

ошибок не выдает, просто у меня в свойствах Domain Admins при добавлении членов к ней не отображаются глобальные группы

Вот могли бы вы мне подсказать как

Во-первых, проверьте, какие объекты должны добавляться

Во-вторых, проверьте журнал событий на предмет ошибок.

если используется данный режим, что тогда делать?

указываю объекты группы
вывожу весь список, а в списке группы Domain Admins не вижу

mirlan,
Groups or Built-in Security Principals, если Вы решили идти от противного, а не включать Вашу группу в Domain Admins.

Изменение режима работы домена
(В статье не сказано - действия проводятся в оснастке AD.)

Или можно в google поискать если нужны подробности.

После повышения режима работы домена до 2000 native или 2003 native, Вы сможете добавлять глобальные группы в другие глобальные группы.

при повышении уровня домена до native мои ПК в домене с ОС NT4 и Windows 2000 не отвалятся?

Ткните пожалуйста носом в литературу.
У нас есть AD, в AD есть несколько Organization Unit по названию офисов.
Вопрос. Смогу ли я войти в домен имея учетную запись в "Офис1" с "Офис2".
Как показала практика - нет.
Вопрос - почему и что читать?

Неужели не кому не попадалась путная книга или справочник по AD?

попробуйте
Active Directory. Подход профессионала - Зубанов