У нас есть ситуация, когда (немного упрощая) у нас есть контроллеры домена для домена A в одной подсети и контроллеры домена для домена B в другой подсети. Большинство виртуальных машин, присоединенных к домену B, также находятся в подсети, где находятся контроллеры домена для домена B.
Большинство учетных записей пользователей, которым необходим доступ к виртуальным машинам в любом домене, находятся в домене A.
Домен B настроен на односторонние доверительные отношения с доменом A.
Теперь мы внедрили изменения в брандмауэр, которые не позволяют большинству виртуальных машин в подсети домена B получать доступ к подсети домена A. Контроллеры домена по-прежнему могут взаимодействовать друг с другом.
Это привело к тому, что когда я хочу добавить пользователя в домене A в локальную группу на виртуальной машине в подсети B, я больше не могу этого сделать, поскольку эта виртуальная машина не может связаться с контроллером домена в A.
Однако стандартная практика заключается в том, чтобы никогда не добавлять пользователей в локальную группу напрямую таким образом. Вместо этого я могу создать группу «Доступ к VM1» в домене A и добавить туда пользователя. Затем я могу создать «Доступ к VM1» в домене B и добавить туда «Доступ к VM1» из домена A. Наконец, я могу добавить группу «Доступ к VM1» в домене B в локальную группу на VM1. И это работает.
Является ли это разумной моделью? В частности, разумно ли ограничивать доступ виртуальных машин в домене B к контроллерам домена A? Могут ли возникнуть какие-либо другие проблемы в будущем?