您可以将 AD 分发组包含在安全组中吗?

您可以将 AD 分发组包含在安全组中吗?

我有一个安全组 SG-SomeResource,它提供对网络资源的访问权限。我还有一个通讯组 DG-MyOrg,它描述了一个组织单位。

我可以将 DG-MyOrg 作为 SG-SomeResource 的成员,从而授予 DG-MyOrg 所有成员对该资源的访问权限,还是必须将 DG-MyOrg 的每个成员单独添加到 SG-SomeResource 中?

就像这样:

DG-我的组织

  • 安妮
  • 莎拉

SG-某些资源

  • 鲍勃
  • DG-我的组织

Anne、Joe 和 Sarah 现在可以访问该资源吗,还是只有 Bob 可以访问?

有趣的是,我找不到任何关于其工作原理的清晰文档。我知道,当进入 Joe 的个人资料检查他的群组成员身份时,SG-SomeResource 将不会显示,因为它是一种嵌套的群组关系,但我不确定这是否也必然意味着他不会被授予访问资源的权限,或者 SG 成员身份查找是否是递归的?

答案1

不,这不行。

为了使 AD 中的权限正确传播,安全组的成员必须是安全主体。
这意味着每个对象都需要一个活动 SID,然后可以使用该 SID 将权限从一个成员链接到下一个成员。
由于分发组有一个不活动的 SID,因此它会破坏链。

相关内容