ste*_*984 2 active-directory domain domain-controller
如何创建专用的林根域?我熟悉 Active Directory 并在“高级模式”中使用了 dcpromo.exe,但我不确定如何创建专用的林根域?
当我在这里时,如果他们的林脱机,作为林成员的域控制器是否仍然可以工作?
我认为您在谈论“空根”Active Directory 设计策略。您可以在此处创建一个林根域,该域最终不包含用户或资源,仅用作包含资源的子域的父域。
为此,您只需像往常一样使用 DCPROMO 为新 AD 部署创建新林。然后,在子域控制器上创建子域。在创建林根域的过程中没有什么特别的。
“空根”只是今天的一种政治结构。已经表明“空根”不提供安全性。任何子域中的“域管理员”都可以很容易地将自己变成“企业管理员”。
当您问“当我在这里时,如果他们的林脱机,作为林成员的域控制器是否仍然可以工作?”,我想您是在问“如果我丢失了所有林根域控制器会怎样? ”
那会很糟糕。您可能能够解决使用快捷方式信任会出现的 Kerberos 信任路径问题,但通常您不想丢失林根域中的所有域控制器,或者您正在考虑重建整个林。不要那样做(tm)。
编辑:
您应该始终尝试并尽可能使用单个域。除非您需要多个密码策略(并且不能使用 Windows 2008 Active Directory 中的细粒度密码策略功能),否则尽量坚持使用单个域。
空根在今天没有多大意义,除非在政治情况下,组织的某些部分不能“接受”森林根可能被其他人“拥有”。(即便如此,这也只是一个虚假的政治论点,因为从技术上讲,空根策略没有安全“牙齿”。)
当您需要多个密码或者您想限制整个域 NC 的复制范围时(或者,我想,如果您想使用基于 SMTP 的 AD 复制),多域部署是有效的。如果你没有这些需求,你真的不需要多域。
如果您确实需要在组织的各个部分之间进行隔离、保护 AD 模式/配置以及在组织的不同部分之间严格约束管理委派,那么您可能需要一个多林基础架构(尽管这是最复杂和最烦人的)要管理的类型)。
| 归档时间: |
|
| 查看次数: |
4185 次 |
| 最近记录: |