这不是“开箱即用”行为,至少不适用于“域管理员”组.

如果您拥有ad.mycompany.com的根域和子域child.ad.mycompany.com,则任一域中的域管理员都不能管理其他域.但是,企业管理员组成员将能够管理子域.

但是,如果您的角色分离率较低,则设置此行为不一定会被视为恶意行为(例如,企业管理员与Domain Admins的人员相同).此外,没有必要使用“非标准实用程序和黑客”作为允许此操作的所有操作,将父域的Domain Admin组添加到Enterprise Admin组.

子域中的域管理员组成员仍然无权管理父域.