Wir haben eine Situation, in der wir (etwas vereinfacht) Domänencontroller für Domäne A in einem Subnetz und Domänencontroller für Domäne B in einem anderen Subnetz haben. Die meisten der mit Domäne B verbundenen VMs befinden sich auch in dem Subnetz, in dem sich die Domänencontroller für Domäne B befinden.
Die meisten Benutzerkonten, die Zugriff auf die VMs in einer der Domänen benötigen, befinden sich in Domäne A.
Domäne B ist mit einer Einweg-Vertrauensbeziehung zu Domäne A konfiguriert.
Jetzt haben wir Änderungen an der Firewall implementiert, die den meisten VMs im Subnetz von Domäne B den Zugriff auf das Subnetz von Domäne A verwehren. Die Domänencontroller können weiterhin miteinander kommunizieren.
Dies führte zu der Situation, dass ich einen Benutzer in Domäne A nicht mehr zu einer lokalen Gruppe auf einer VM im Subnetz B hinzufügen konnte, da diese VM den Domänencontroller in A nicht erreichen konnte.
Die Standardpraxis besteht jedoch darin, Benutzer niemals direkt auf diese Weise zu einer lokalen Gruppe hinzuzufügen. Stattdessen kann ich eine Gruppe „Zugriff auf VM1“ in Domäne A erstellen und den Benutzer dort hinzufügen. Dann kann ich „Zugriff auf VM1“ in Domäne B erstellen und dort „Zugriff auf VM1“ von Domäne A hinzufügen. Schließlich kann ich die Gruppe „Zugriff auf VM1“ in Domäne B zur lokalen Gruppe auf VM1 hinzufügen. Und das funktioniert.
Ist dies ein sinnvolles Modell? Ist es insbesondere sinnvoll, den Zugriff von VMs in Domäne B auf die Domänencontroller von Domäne A zu beschränken? Könnte dies später zu weiteren Problemen führen?