如果網域 B 的電腦無法存取(受信任的)網域控制站 A,這樣可以嗎?

如果網域 B 的電腦無法存取(受信任的)網域控制站 A,這樣可以嗎?

我們遇到這樣一種情況:(稍微簡化一下)一個子網路上有網域 A 的網域控制器,另一個子網路上有網域 B 的網域控制器。大多數加入網域 B 的虛擬機器也位於網域 B 的網域控制站所在的子網路上。

大多數需要存取任一網域中虛擬機器的使用者帳戶都位於網域 A 中。

域 B 配置了與域 A 的單向信任關係。

現在,我們已經實施了防火牆更改,阻止網域 B 子網路上的大多數虛擬機器存取網域 A 的子網路。

這導致了這樣的情況:當我想要將網域A 中的使用者新增至子網路B 中的虛擬機器上的本機群組時,我無法再執行此操作- 因為該虛擬機器無法存取A 中的網域控制器。

但標準做法是永遠不要像這樣直接將使用者新增到本地群組。相反,我可以在網域 A 中建立一個群組“訪問 VM1”,並在其中新增使用者。我可以在網域 B 中建立“對 VM1 的存取”,並從網域 A 中新增“對 VM1 的存取”。最後,我可以將網域 B 中的「存取 VM1」群組新增至 VM1 上的本機群組。這有效。

這是一個合理的模型嗎?特別是,限制網域B中的虛擬機器存取網域A的網域控制站是否合理?它可能會導致其他問題嗎?

相關內容