Доброго дня коллеги!
Имеется лес Active Directory corp.cobion.group, состоящий из корневого домена corp и дочернего субдомена sap.corp.cobion.group.
Имеется Veeam B&R v.13 вне домена.
Для организации безопасного СРК не привязанного к инфратсруктуре AD, используется Guest Interaction Proxy (GIP), с одной стороны подключенного локально, через сертификаты к Veeam, с другой стороны являющего членом домена corp. Для использования гостевого процессинга AAIP для контроллеров домена, использутеся gMSA, которая запрашивает пароль у DC для GIP. Всё настроено, все прекрасно работает.
Встаёт вопрос об использовании отделной gMSA, но уже для бэкапа контроллеров принадлежащих субдомену sap
Вопрос:
Если Root Key можно использовать на уровне леса, то может ли использоваться gMSA созданная в домене corp, для получения пароля с контроллеров в другом домене (субдомене sap), или как только каждая gMSA в своём домене, но от одного и того же rootKey ?
Идея задачи- использовать один и тот же GIP принадлежащий корневому домену corp, но использующий gMSA из разных доменов, либо одну/две gMSA для обоих доменов, но созданные только в корневом домене?
Размышления:
1, Если для резервного копирования DC с AAIP используется gMSA принадлежащая встроенной группе Administrators (требование вендора)- а эта группа включает уже системные уз уровня леса (такие как Enterprise Admins), то и одной gMSA хватит чтобы запрашивать пароль с других DC в субдомене?
2. Ну или если не городить, то тогда ставить второй GIP, присоединять его к субдомену SAP, настраивать gMSA в этом же домене?
Спасибо!