ad: не видит другой домен во вкладке members
 

Здраствуйте. Зашёл в тупик при простой операции...
есть
1 домен: w2003 ent edition
2 домен: w2003 stand edition - дочерний домен 3го домена в другом лесу

что сделано: двухсторонние доверительные отношения (во вкладке trusts)

что получили: nslookup'ом после этого видятся домены
через вкладку security виден другой домен и можно добавить пользователей из 2 домена
что надо: добавить учетку из 2го домена во вкладке members, но 2ой домен даже не видится там.

что не настроено?

всё это как подготовка к миграции учеток из одного домена в другой

Какая область действия у группы?

по дефолту - глобал

Ну так оно и понятно, глобальная группа может содержать только членов из своего домена.
Изучайте азы AD http://technet.microsoft.com/ru-ru/l...92(WS.10).aspx

Изменить область нельзя - недоступно. какие-то особенные права должны быть? подчиненных глобальных областей нет у неё.

По ссылке написано как изменять область - сначала в универсальную, затем в локальную (для этого домен AD должен быть в режиме windows 2003)

да. всё так. 1ый домен в режиме 2000 native, а второй в режиме 2003. Но к старому домену прикручена почта Exchange 5.5 на WinNT. Я так понимаю после перевода его на режим 2003, учетки перестанут цепляться за почту?

хм... вообще этого достаточно
Универсальную группу создать получается?

создать - получается. Не получается изменить режим для существующей группы "domain admins"

Так это встроенная группа - она по определению глобальная - изменить не получится
Добавляйте людей из другого домена в группу "administrators"

ну, спасибо за тычки носом :) В Administrators добавить можно.