Adicionando um Active Directory a um grupo local de computadores - qual escopo escolher?

Navegue suas respostas
4

Estou ciente da regra geral "AGDLP" quando se trata de agrupar aninhamento dentro de uma estrutura AD. Mas agora estou me perguntando se há alguma prática recomendada quando se trata de adicionar grupos do Active Directory a grupos locais "computador".

Vamos supor que eu tenha um servidor chamado HOST_A que está executando a função Servidor de Área de Trabalho Remota. E gostaria de gerenciar o grupo de pessoas que têm acesso a ele por meio de um grupo AD.

Eu gostaria de criar um grupo domain-local , digamos "P_RemoteDesktopUsers_Host_A" e torná-lo membro do grupo local de computadores chamado "Usuários da Área de Trabalho Remota".

Ou devo escolher um escopo grupo global ? Se sim, porque?

    
por Matze 11.11.2014 / 14:43

2 respostas

3

Acredito que sua decisão sobre qual escopo de grupo usar deve ser definida por:

  • Quais entidades de segurança precisam ser membros do grupo? Por exemplo, se você precisar incluir entidades de segurança de outros domínios da floresta nesse grupo de segurança, será necessário torná-lo um grupo de Domínio Local ou Universal. Se você precisar incluir apenas membros do mesmo domínio neste grupo de segurança, poderá usar um grupo de segurança Global.

  • De quais recursos você precisará controlar o acesso em relação a esse grupo? Você pode colocar um grupo global em ACLs em qualquer domínio na floresta, enquanto um grupo de segurança local do domínio só pode ser colocado em ACLs dentro de seu próprio domínio. Se você tem uma situação na qual você precisa de span de domínios de uma maneira muito flexível, você pode querer recorrer a um grupo Universal.

Grupos globais são bons para manter a replicação no catálogo global no mínimo ... mas isso não é grande hoje em dia, já que todo controlador de domínio é geralmente um GC, e a largura de banda consumida pelo tráfego de replicação não é algo que normalmente preocupa nós mais.

link

    
por 11.11.2014 / 15:07
3

Não sei se a Microsoft já publicou uma prática recomendada nesse cenário específico. Ele difere dos cenários típicos em que você não está colocando uma lista de controle de acesso no sistema de arquivos. Uma pesquisa rápida no site não apresenta bons resultados.

Em um cenário de domínio único (a coisa mais comum que existe por aí), uso a funcionalidade Grupos restritos de diretiva de grupo para aninhar um grupo global do domínio no grupo "Usuários da área de trabalho remota" em computadores. Eu sinto que este método é suficientemente "visível" para permitir futuras auditorias. Obviamente, terei diferentes configurações de Grupos Restritos aplicados a diferentes "classes" de computadores. Não vejo necessidade de o grupo local de domínio abstrair a função do recurso, porque vejo a Diretiva de Grupo satisfazendo esse requisito.

    
por 11.11.2014 / 15:07

Tags

Por que não atribuir o nome do host ao endereço de loopback em / etc / hosts? Lote configurar o HP ILO do laptop