我有一个安全组 SG-SomeResource,它提供对网络资源的访问权限。我还有一个通讯组 DG-MyOrg,它描述了一个组织单位。
我可以将 DG-MyOrg 作为 SG-SomeResource 的成员,从而授予 DG-MyOrg 所有成员对该资源的访问权限,还是必须将 DG-MyOrg 的每个成员单独添加到 SG-SomeResource 中?
就像这样:
DG-我的组织
- 安妮
- 乔
- 莎拉
SG-某些资源
- 鲍勃
- DG-我的组织
Anne、Joe 和 Sarah 现在可以访问该资源吗,还是只有 Bob 可以访问?
有趣的是,我找不到任何关于其工作原理的清晰文档。我知道,当进入 Joe 的个人资料检查他的群组成员身份时,SG-SomeResource 将不会显示,因为它是一种嵌套的群组关系,但我不确定这是否也必然意味着他不会被授予访问资源的权限,或者 SG 成员身份查找是否是递归的?
答案1
不,这不行。
为了使 AD 中的权限正确传播,安全组的成员必须是安全主体。
这意味着每个对象都需要一个活动 SID,然后可以使用该 SID 将权限从一个成员链接到下一个成员。
由于分发组有一个不活动的 SID,因此它会破坏链。