%20%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%20%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%A9%E3%83%BC%20A%20%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84%E5%A0%B4%E5%90%88%E3%80%81%E3%81%93%E3%82%8C%E3%81%AF%E5%95%8F%E9%A1%8C%E3%81%82%E3%82%8A%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B%3F.png)
少し単純化すると、あるサブネットにドメイン A のドメイン コントローラーがあり、別のサブネットにドメイン B のドメイン コントローラーがある状況があります。ドメイン B に参加している VM のほとんどは、ドメイン B のドメイン コントローラーがあるサブネット上にもあります。
どちらかのドメインの VM にアクセスする必要があるほとんどのユーザー アカウントは、ドメイン A にあります。
ドメイン B は、ドメイン A との単方向の信頼関係で構成されます。
現在、ファイアウォールの変更を実施し、ドメイン B のサブネット上のほとんどの VM がドメイン A のサブネットにアクセスできないようにしています。ドメイン コントローラーは引き続き相互に通信できます。
このため、ドメイン A のユーザーをサブネット B の VM 上のローカル グループに追加したい場合、この VM が A のドメイン コントローラーにアクセスできないため、追加できなくなりました。
ただし、標準的な方法は、ユーザーをそのように直接ローカル グループに追加しないことです。代わりに、ドメイン A に「Access to VM1」グループを作成し、そこにユーザーを追加します。次に、ドメイン B に「Access to VM1」を作成し、そこにドメイン A から「Access to VM1」を追加します。最後に、ドメイン B の「Access to VM1」グループを VM1 のローカル グループに追加します。これでうまくいきます。
これは合理的なモデルでしょうか? 特に、ドメイン B の VM のアクセスをドメイン A のドメイン コントローラーに制限することは合理的でしょうか? 将来的に、これによって発生する可能性のある他の問題はありますか?