Поднял новый домен. Наладил доверительные отношения со старым доменам. Пока не перекину всех пользователей и ресурсы в новый домен, пользователям нового домена нужно будет заходить на ресурсы старого домена. Хочется организовать структуру AD "по феншую".
Почитал статью про группы http://www.osp.ru/win2000/2007/02/4236796/ и в этой статье наткнулся на ряд противоречий.
Автор статьи пишет:
"Для предоставления пользователям доступа к ресурсам, распределенным по нескольким доменам, следует использовать универсальные группы. Для этого помещайте глобальные группы в универсальные группы, универсальные группы - в локальные группы доменов и затем используйте локальные группы доменов для установления разрешений на обращение к ресурсам."
А чуть ниже пишет следующее:
"Кроме того, я рекомендую читателям придерживаться следующего принципа: старайтесь создавать как можно меньше групп и ограничивать число уровней их вложения. Ведь чем меньше будет групп и уровней вложения, тем проще система разрешений и тем легче находить причины неполадок в случае возникновения проблем."

И в связи со всем вышесказанным у меня возник вопрос:
Зачем мудрить с этими "матрёшками" из групп, если я могу на прямую, давая права доступа к ресурсу одного домена, назначить глобальную группу другого домена?
Просто, если делать так, как пишет автор статьи, то в моём случае придётся расплодить кучу универсальных и локальных групп.

Я так понял, у вас о-о-очень маленький домен, если вы собираетесь
обойтись одним уровнем групп.

Но представьте себе, что у вас в лесу 154 домена и есть группа
"Домен132\Группа1245", Домен132 находится в другой стране
и вы лично не знаете там ни одного сотрудника, тем более - их
полномочий и прав. Станете ли вы использовать эту группу для
доступа к каким-либо критическим ресурсам у себя в Домен091?

Членством в глобальных и локальных группах управляют свои
местные администраторы, которые получили необходимые команды,
например, от отдела кадров, юристов и/или отдела безопасности.
А администратор уровня предприятия использует эти группы
в универсальных как конструктор ЛЕГО.

Классический пример: в каждом домене есть глобальная группа
ДоменNNN\ОтделИТ, мы их включаем в универсальную группу
"ВсеСотрудники Отделов ИТ", а дальше для доступа к ресурсам
использовать локальные группы. Задумайтесь: у вас файловая шара
с миллионом файлов и папок, и вы даете доступ еще одной глобальной
группе. Нужно переписать все ACL. А так только изменится одна группа.

К тому же, Exchange Server 2010 работает только с универсальными
группами, например, можно разослать циркулярное письмо по всем
сотрудникам ИТ.

Вы еще не видели, сколько плодится групп, если использовать RBAC
(Role-Based Access Control ;)

И не забывайте, что фэншуй - это разновидность рэкета и служит
для выколачивания денег из наивных людей :-)