Eu tenho um domínio de diretório ativo com vários servidores Linux que interagem com o AD por meio de sssd. Quero ter uma configuração diferente de sudoers em servidores diferentes e sei que isso pode ser feito através de netgroups. Até agora, consegui colocar alguns servidores em um netgroup adicionando um objeto nisNetgroup no AD e adicionando servidores ao atributo nisNetgroupTriple nesse objeto (e definindo a opção ldap_netgroup_search_base em sssd.conf). Como resultado, posso consultar o netgroup com sucesso nos servidores Linux usando getent:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
A alteração da associação ao netgroup é feita modificando o atributo nisNetgroupTriple do objeto nisNetgroup. Isso significa que um usuário com permissão para modificar o objeto pode colocar qualquer servidor no netgroup. Gostaria de bloquear ainda mais isso, por exemplo, usando um grupo AD padrão, onde um usuário precisaria ter permissão para modificar o grupo e a conta do computador para adicionar o computador ao grupo. É possível que o sssd use um grupo AD padrão como um netgroup?