Tenemos una situación en la que tenemos (simplificando un poco) controladores de dominio para el dominio A en una subred y controladores de dominio para el dominio B en otra subred. La mayoría de las máquinas virtuales unidas al dominio B también se encuentran en la subred donde se encuentran los controladores de dominio para el dominio B.
La mayoría de las cuentas de usuarios que necesitan acceder a las máquinas virtuales en cualquiera de los dominios están en el dominio A.
El dominio B está configurado con una relación de confianza unidireccional con el dominio A.
Ahora, hemos implementado cambios en el firewall que impiden que la mayoría de las máquinas virtuales en la subred del dominio B accedan a la subred del dominio A. Los controladores de dominio aún pueden comunicarse entre sí.
Esto llevó a la situación de que cuando quiero agregar un usuario en el dominio A a un grupo local en una VM en la subred B, ya no puedo hacerlo, porque esta VM no puede llegar al controlador de dominio en A.
Sin embargo, la práctica estándar es nunca agregar usuarios al grupo local directamente de esa manera. En su lugar, puedo crear un grupo "Acceso a VM1" en el Dominio A y agregar el usuario allí. Puedo crear "Acceso a VM1" en el Dominio B y agregar "Acceso a VM1" desde el Dominio A allí. Finalmente, puedo agregar el grupo "Acceso a VM1" en el dominio B al grupo local en VM1. Y esto funciona.
¿Es este un modelo razonable? En particular, ¿es razonable limitar el acceso de las máquinas virtuales del dominio B a los controladores de dominio del dominio A? ¿Hay algún otro problema en el futuro que pueda causar?