CHf*_*ish 4 windows active-directory
我一直在阅读很多试图弄清楚为什么我会建立一个“多域 - 一个森林”架构,但我没有找到任何好的理由这样做。我得出的结论是,您最好使用“一个域和委托”或“多个具有信任的域”。
有一句对我来说很重要:
“因为域不是安全边界,恶意服务管理员(例如域管理员组的成员)有可能使用非标准工具和程序来获得对林中任何域或林中任何计算机的完全访问权限。林。例如,非根域中的服务管理员可以使自己成为 Enterprise Admins 或 Schema Admins 组的成员。”(来源)
有没有人能想到使用一个包含多个域的森林的场景?
谢谢
此时此刻,我正在使用双域林将企业从严重损坏和错误配置的域迁移到我设置正确的域上。
避免域迁移中的任何停机时间对于多域林来说无疑是一个非常重要的用例。
当然,如果您没有理由需要一个,请继续使用单个域林。如果/当您需要多个域时,您就会知道,并且没有理由增加 AD 林的复杂性,尤其是当您没有从中获得任何好处时。
小智 5
你的问题的简短回答是,不。多域林通常没有充分的理由。旧的指南基本上没有变化,是提供自治和/或控制复制。
这种“自治”包括单独的密码策略。如果一个组织需要多个密码策略,实现它的唯一方法是使用多个域。Windows Server 2008 通过细粒度密码策略解决了这个问题。
另一个,复制,仍然可能是一个缓解因素,但广域网拓扑和 AD 复制的改进也确实消除了这一论点。
至于备份/恢复或 DR,多域林或具有空林根域的林不会使备份和恢复变得更容易。事实上,在森林恢复方案中,这使它变得更加困难。
| 归档时间: |
|
| 查看次数: |
8145 次 |
| 最近记录: |