Я знаю эмпирическое правило «AGDLP», когда речь идет о вложении групп внутри структуры AD. Но теперь мне интересно, есть ли какие-нибудь передовые практики, когда дело доходит до добавления групп Active Directory в локальные группы «компьютер».
Предположим, у меня есть сервер с именем HOST_A, на котором запущена роль сервера удаленного рабочего стола. И я хотел бы управлять группой людей, имеющих к нему доступ через группу AD.
Я бы для этого создал локальный домен группе скажем «P_RemoteDesktopUsers_Host_A» и сделаем ее членом локальной компьютерной группы под названием «Пользователи удаленного рабочего стола».
Или я должен выбрать глобальная группа объем? Если да, то почему?
Я не уверен, что Microsoft когда-либо публиковала лучшие практики для этого конкретного сценария. Он отличается от типичных сценариев тем, что в конечном итоге вы не помещаете список управления доступом в файловую систему. Быстрый поиск по их сайту не дает хороших результатов.
В сценарии с одним доменом (самый распространенный вариант) я бы использовал функциональность групп с ограниченным доступом групповой политики, чтобы вложить глобальную группу из домена в группу «Пользователи удаленного рабочего стола» на компьютерах. Я чувствую, что этот метод достаточно «нагляден», чтобы можно было проводить одитинг в будущем. Конечно, у меня будут разные настройки ограниченных групп, применяемые к разным «классам» компьютеров. Я не вижу необходимости для локальной группы домена абстрагироваться от роли от ресурса, потому что я вижу, что групповая политика удовлетворяет этому требованию.
Я считаю, что ваше решение о том, какую группу использовать, должно определяться:
Какие участники безопасности должны быть членами группы? Например, если вам нужно включить участников безопасности из других доменов леса в эту группу безопасности, вам нужно будет сделать ее локальной или универсальной группой домена. Если вам нужно включить в эту группу безопасности только членов одного домена, вы можете использовать глобальную группу безопасности.
Какие ресурсы вам понадобятся для управления доступом в отношении этой группы? Вы можете поместить глобальную группу в списки ACL в любом домене леса, в то время как локальная группа безопасности домена может быть помещена в списки ACL только в своем собственном домене. Если у вас возникла ситуация, когда вам нужно очень гибко охватывать домены, вы можете обратиться к универсальной группе.
Глобальные группы хороши для сведения к минимуму репликации в глобальный каталог ... но в наши дни это не так уж важно, поскольку каждый контроллер домена обычно является сборщиком мусора, а пропускная способность, потребляемая трафиком репликации, обычно нас больше не беспокоит. .
http://technet.microsoft.com/en-us/library/cc755692(v=WS.10).aspx