我希望这是正确的讨论组。免责声明:我不是 Windows/系统管理员,但作为网络管理员,我必须处理 Windows 世界
我试图了解如何简化编写 NPS 规则的工作,因为 MS NPS(网络策略服务器)会检查用户是否属于 Windows 组(据我所知是安全组),但显然只在第一级,并不检查嵌套的组。
对于那些不知道的人来说,假设我有 17 个 OU,其中包含用户。每个 OU 都有一个 sec 组,因此有 17 个 Sec 组。现在有 5 个 VPN/802.1x 服务(其身份验证由 NPS 完成)授予某些 Sec 组,但不授予其他 Sec 组。
为了简化,我将提供哪个组属于哪个服务的描述:
Service1 被授予 Sec1、Sec5、Sec6、Sec7、Sec10
Service2 被授予 Sec2、Sec3、Sec6、Sec7、Sec11、Sec12、Sec14
Service3 被授予 Sec1、Sec5
Service4 被授予 Sec3、Sec4、Sec5、Sec11、Sec12、Sec13、Sec14、Sec15、Sec17
Service5 被授予 Sec1,Sec8,Sec9,Sec10,Sec17
我认为我可以在 AD 中创建 5 个 Sec 父组,如 Secgrpserv1、Secgrpserv2、Secgrpserv3、Secgrpserv4、Secgrpserv5,然后在网络策略的 NPS 条件中指定它们(而不是添加与受益于该服务的 Sec 组一样多的规则),因为否则 NPS 规则会爆炸式增长并且难以管理。
有没有一种聪明的方法(我希望是在 AD 方面)来做到这一点?
谢谢,亚历克斯
编辑:到目前为止,我在互联网上发现的最相关的讨论是这样的
如果这有帮助的话,父组和子成员都是全局组。