Tengo un dominio de directorio activo con un puñado de servidores Linux que interactúan con AD a través de sssd. Quiero tener una configuración de sudoers diferente en diferentes servidores y sé que esto se puede hacer a través de netgroups. Hasta ahora, logré incluir algunos servidores en un grupo de red agregando un objeto nisNetgroup en AD y agregando servidores al atributo nisNetgroupTriple en ese objeto (y configurando la opción ldap_netgroup_search_base en sssd.conf). Como resultado, puedo consultar el grupo de red con éxito en los servidores Linux usando getent:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
El cambio de membresía en netgroup se realiza modificando el atributo nisNetgroupTriple del objeto nisNetgroup. Esto significa que un usuario con permiso para modificar el objeto puede colocar cualquier servidor en el grupo de red. Me gustaría bloquear esto aún más, por ejemplo, usando un grupo AD estándar, donde un usuario necesitaría tener permiso para modificar el grupo y la cuenta de la computadora para poder agregar la computadora al grupo. ¿Es posible que sssd utilice un grupo AD estándar como grupo de red?