所以这是场景 -
我们正在将 IT 集中到单一位置的数据中心。我目前有 12 家不同的运营公司需要共享安全和交换功能。就目前而言,它们都是不同级别的独立域。有一个公司范围的会计系统需要与当前在一个完全独立的域中运行的 AD 集成,我希望看到人们使用他们自己的 AD 登录信息来使用。
这是我的问题-
知道所有的 Active Directory 域都需要接触,无论要使它们都达到统一的功能级别,并且无论如何都有大量工作要做,哪种配置最好?我知道每一点都有几个要点,但我想确保在选择路径之前我现在已经覆盖了我的基地。我是否选择单个林\父域?或者使用企业域和运营公司之间的信任来分离域,例如辐条和集线器配置?各自的优缺点是什么?
谢谢-
附加细节:有些需要管理授权……它更像是一个特许经营环境,而不是一家公司。将有管理人员只负责他们的公司,仅此而已。硬件和软件开销不是问题,无论如何,每个公司都使用不同的策略集,因此策略部分没有真正的优势或劣势。
如果运营公司分布在美国各地,这是否会改变您的建议?
不使用单个域(和林)的最强有力的原因是,如果您绝对必须在每个林中拥有单独的管理员。这就是安全边界。如果同一个人将拥有全套密钥,那么请让他们轻松。明确地说,我不是在谈论某些任务的委派——这是一群将成为企业管理员的人。
这不会对我的建议产生太大影响,因为您可以根据需要将事情委派出去,正如我上面所说的。例如,如果组织的一部分具有需要能够编辑分配给其 OU 的 GPO 的本地管理员,您可以将其提供给他们。但是,如果他们需要完全控制他们的域部分,以至于他们需要能够将您锁定在它之外,那么您需要单独的林,并且可能很难进行时间共享交换。因此,由于您正在共享“安全和交换”,听起来单个域仍然是正确的方法。
就个人而言,如果这是一个中心化项目,我会使用一个域并使用 OU 来分隔事物。这样就不必为每个子域提供完全冗余,使漫游和移动更容易,并大大降低了配置和复杂性。
如果您正确配置站点和服务,几乎没有任何缺点。
| 归档时间: |
|
| 查看次数: |
8145 次 |
| 最近记录: |