Как реализовать групповые политики для веб-сервисов организации?

Question

[sobernt]

Доброго дня!
Прошу помочь с поиском решений (best practices) для следующего кейса:
Есть AD организации, в которой заведены все ее пользователи.
Пользователи находятся в узле OU=corp DC=orgname DC=org
Необходимо для каждого локального(внутреннего) сервиса (.orgname.org) организации реализовать группы, чтобы существующего пользователя AD привязать к сервису с определенной ролью.

Вопрос: как сделать это наилучшим образом?

Администраторы в организации предложили такой вариант:
если в сервисе есть роли (:ADM,MNG,USR) - привязывать пользователя к группе SRVC--

Я же предполагаю, что лучшим решением было бы использование древовидных структур(OU= OU= OU=services DC=orgname DC=org), но я могу ошибаться.

Answer 1

[nApoBo3]

Рекомендованная модель назначения прав AGDLP.
Доступ дают локальной группе( одна группа один ресурс доступа с одной моделью прав ), в нее включают глобальную группу, в нее пользователя.
Предложенная вами древовидная структура решения крайне неудачное.
Да, и это не групповые политики.