У меня есть группа безопасности SG-SomeResource, обеспечивающая доступ к сетевому ресурсу. У меня также есть группа рассылки DG-MyOrg, которая описывает организационное подразделение.
Могу ли я включить DG-MyOrg в качестве члена SG-SomeResource, тем самым предоставив доступ к ресурсу для всех членов DG-MyOrg, или мне нужно добавить каждого отдельного члена DG-MyOrg в SG-SomeResource?
Вот так:
DG-MyOrg
SG-SomeResource
Получат ли теперь доступ к ресурсу Энн, Джо и Сара или только Боб?
Интересно, что мне не удалось найти четкой документации о том, как это работает. Я знаю, что при входе в профиль Джо, чтобы проверить его членство в группе, SG-SomeResource не будет отображаться, поскольку это отношение вложенной группы, но я не уверен, обязательно ли это означает, что ему не будет предоставлен доступ к ресурсу, или если поиск членства в SG рекурсивен?
Нет, это не сработает.
Для правильного распространения разрешений в AD члены группы безопасности должны быть участниками безопасности.
Это означает, что каждому объекту требуется активный SID, который затем можно использовать для цепочки разрешений от одного члена к другому.
Поскольку группа рассылки имеет неактивный SID, цепочка разрывается.