我们遇到的情况是(稍微简化一下)域 A 的域控制器位于一个子网上,而域 B 的域控制器位于另一个子网上。加入域 B 的大多数虚拟机也位于域 B 的域控制器所在的子网上。
大多数需要访问任一域中的虚拟机的用户帐户都在域 A 中。
域 B 配置为与域 A 单向信任关系。
现在,我们已经实施了防火墙更改,阻止域 B 子网上的大多数虚拟机访问域 A 子网。域控制器仍然可以相互通信。
这就导致了这样的情况:当我想将域 A 中的用户添加到子网 B 中虚拟机上的本地组时,我无法再这样做 - 因为该虚拟机无法访问 A 中的域控制器。
不过,标准做法是永远不要直接将用户添加到本地组。相反,我可以在域 A 中创建一个“访问 VM1”组,并在那里添加用户。然后,我可以在域 B 中创建“访问 VM1”,并从域 A 在那里添加“访问 VM1”。最后,我可以将域 B 中的“访问 VM1”组添加到 VM1 上的本地组。这样就行了。
这是一个合理的模型吗?具体来说,将域 B 中的虚拟机的访问限制在域 A 的域控制器上是否合理?这是否会导致其他问题?