我知道在 AD 结构内进行组嵌套时要遵循“AGDLP”经验法则。但现在我想知道在将 Active Directory 组添加到“计算机”本地组时是否有任何最佳实践。
假设我有一台名为 HOST_A 的服务器,它正在运行远程桌面服务器角色。我想通过 AD 组管理有权访问它的一组人。
因此我将创建一个域本地组,假设为“P_RemoteDesktopUsers_Host_A”,并使其成为名为“远程桌面用户”的计算机本地组的成员。
或者我应该选择一个全球集团范围?如果是,原因何在?
答案1
我相信您使用哪个组范围的决定应该由以下因素定义:
哪些安全主体需要成为该组的成员?例如,如果您必须将来自林中其他域的安全主体包含在此安全组中,则必须将其设为域本地或通用组。如果您只需要将同一域的成员包含在此安全组中,则可以使用全局安全组。
您需要控制此组对哪些资源的访问?您可以将全局组放在林中任何域的 ACL 上,而域本地安全组只能放在其自己域内的 ACL 上。如果您需要以非常灵活的方式跨域,您可能需要求助于通用组。
全局组有利于将对全局目录的复制保持在最低限度......但现在这不是什么大问题,因为现在每个域控制器通常都是一个 GC,并且复制流量所消耗的带宽通常不再是让我们担心的事情。
http://technet.microsoft.com/en-us/library/cc755692(v=WS.10).aspx
答案2
我不确定微软是否曾针对这种特定情况发布过最佳实践。它与典型情况的不同之处在于,您最终不会将访问控制列表放入文件系统中。快速搜索他们的网站不会得到任何好的结果。
在单域场景中(最常见的情况),我会使用组策略受限组功能将域中的全局组嵌套到计算机上的“远程桌面用户”组中。我觉得这种方法足够“可见”,可以进行未来的审计。当然,我会将不同的受限组设置应用于不同“类别”的计算机。我认为域本地组没有必要将角色从资源中抽象出来,因为我认为组策略满足了这一要求。