%20%EB%8F%84%EB%A9%94%EC%9D%B8%20%EC%BB%A8%ED%8A%B8%EB%A1%A4%EB%9F%AC%20A%EC%97%90%20%EC%95%A1%EC%84%B8%EC%8A%A4%ED%95%A0%20%EC%88%98%20%EC%97%86%EB%8A%94%20%EA%B2%BD%EC%9A%B0%EC%97%90%EB%8F%84%20%EA%B4%9C%EC%B0%AE%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
한 서브넷에 도메인 A에 대한 도메인 컨트롤러가 있고 다른 서브넷에 도메인 B에 대한 도메인 컨트롤러가 있는 상황이 있습니다(약간 단순화). 도메인 B에 가입된 대부분의 VM은 도메인 B의 도메인 컨트롤러가 있는 서브넷에도 있습니다.
두 도메인 모두에서 VM에 액세스해야 하는 대부분의 사용자 계정은 도메인 A에 있습니다.
도메인 B는 도메인 A에 대한 단방향 신뢰 관계로 구성됩니다.
이제 우리는 도메인 B의 서브넷에 있는 대부분의 VM이 도메인 A의 서브넷에 액세스하지 못하도록 방화벽 변경을 구현했습니다. 도메인 컨트롤러는 여전히 서로 통신할 수 있습니다.
이로 인해 도메인 A의 사용자를 서브넷 B의 VM에 있는 로컬 그룹에 추가하려고 할 때 더 이상 이를 수행할 수 없습니다. 왜냐하면 이 VM이 A의 도메인 컨트롤러에 연결할 수 없기 때문입니다.
그러나 표준 관행은 그런 식으로 직접 로컬 그룹에 사용자를 추가하지 않는 것입니다. 대신 도메인 A에 "VM1 액세스" 그룹을 만들고 여기에 사용자를 추가할 수 있습니다. 도메인 B에서 "VM1에 대한 액세스"를 생성하고 거기에 도메인 A의 "VM1에 대한 액세스"를 추가할 수 있습니다. 마지막으로 도메인 B의 "VM1에 대한 액세스" 그룹을 VM1의 로컬 그룹에 추가할 수 있습니다. 그리고 이것은 작동합니다.
이것이 합리적인 모델인가? 특히, 도메인 B의 VM에 대한 액세스를 도메인 A의 도메인 컨트롤러로 제한하는 것이 합리적입니까? 앞으로 발생할 수 있는 다른 문제가 있나요?