当涉及AD结构中的组嵌套时,我意识到“AGDLP”的经验法则。 但是现在我想知道在将Active Directory组添加到“计算机”本地组时是否有任何最佳实践。
假设我有一台名为HOST_A的服务器运行远程桌面服务器angular色。 我想通过一个AD组来pipe理那些有权访问的人。
我将为此创build一个域本地组,让我们说“P_RemoteDesktopUsers_Host_A”,并使其成为称为“远程桌面用户”的计算机本地组的成员。
或者我应该select一个全球组范围? 如果是这样,为什么?
我相信你决定使用哪个组范围应该定义如下:
什么样的安全主pipe需要成为这个组织的成员? 例如,如果您必须从此安全组中的其他林中包含安全主体,则必须将其设置为域本地组或通用组。 如果您只需要在该安全组中包含相同域的成员,则可以使用全局安全组。
你将需要哪些资源来控制对这个组的访问? 您可以在林中的任何域中放置一个全局组的ACL,而域本地安全组只能放在其自己的域内的ACL上。 如果您遇到需要以非常灵活的方式跨区域的情况,则可能需要使用通用组。
全局组对于将复制全局目录保持在最低限度是很好的……但是现在,每个域控制器通常都是GC,而且复制stream量所消耗的带宽并不是我们通常担心的事情。
http://technet.microsoft.com/en-us/library/cc755692(v=WS.10).aspx
我不确定微软曾经发布过这个特定场景的最佳做法。 它与典型的场景不同之处在于你并不是最终将一个访问控制列表放到文件系统中。 快速search他们的网站没有得到任何好的结果。
在单个域的情况下(最常见的情况),我会使用组策略限制组function将全局组从域中embedded计算机上的“远程桌面用户”组。 我觉得这个方法足够“可见”,以便将来进行审计。 当然,我会将不同的限制组设置应用于不同的“计算机类”。 我不认为需要域本地组来从资源抽象angular色,因为我看到组策略满足这个要求。