Temos uma situação em que temos (simplificando um pouco) controladores de domínio para o domínio A em uma sub-rede e controladores de domínio para o domínio B em outra sub-rede. A maioria das VMs ingressadas no domínio B também está na sub-rede onde estão os controladores de domínio do domínio B.
A maioria das contas de usuários que precisam acessar as VMs em qualquer domínio estão no domínio A.
O Domínio B está configurado com relação de confiança unilateral com o Domínio A.
Agora, implementamos alterações no firewall que impedem que a maioria das VMs na sub-rede do domínio B acessem a sub-rede do domínio A. Os controladores de domínio ainda podem se comunicar entre si.
Isso levou à situação em que, quando eu quero adicionar um usuário no domínio A a um grupo local em uma VM na sub-rede B, não consigo mais fazer isso - porque essa VM não consegue acessar o controlador de domínio em A.
A prática padrão, porém, é nunca adicionar usuários diretamente ao grupo local dessa forma. Em vez disso, posso criar um grupo "Acesso à VM1" no Domínio A e adicionar o usuário lá. Posso criar "Acesso à VM1" no Domínio B e adicionar "Acesso à VM1" do Domínio A. Finalmente, posso adicionar o grupo "Acesso à VM1" no Domínio B ao grupo local na VM1. E isso funciona.
Este é um modelo razoável? Em particular, é razoável limitar o acesso das VMs no Domínio B aos controladores de domínio do Domínio A? Há algum outro problema no futuro que isso possa causar?