我有一个安全组SG-SomeResource提供对networking资源的访问。 我还有一个分布组DG-MyOrg,它描述了一个组织单位。
是否可以将DG-MyOrg作为SG-SomeResource的成员join,从而授予DG-MyOrg所有成员的资源访问权限,还是必须将DG-MyOrg的每个成员添加到SG-SomeResource中?
像这样:
DG-MYORG
SG-SomeResource
请问安妮,乔和萨拉现在能够访问资源,还是只有鲍勃?
有趣的是,我无法find任何明确的文件如何工作。 我知道,当进入Joe的个人资料来检查他的组成员资格时,SG-SomeResource将不会显示,因为它是一个嵌套的组关系,但我不确定这是否也意味着他不会被授予访问资源,或者如果SG成员查询是recursion的?
不,这不行。
要在AD中正确传播权限,安全组的成员必须是安全主体。
这意味着每个对象都需要一个活动的SID,然后才能用来将权限从一个成员链接到另一个成员。
由于通讯组具有不活动的SID,因此会中断连锁。