Mat*_*sta 6 windows active-directory domain-controller
我的公司正在另一个国家开设一个新网站。我们将在那里安装新服务器,但我有一个无法决定的问题。我们应该在林中创建一个新域还是应该使用相同的域并实现一个新的域控制器,可能还有 RODC?
两家公司是分开的,但合作紧密。我们也为他们俩管理 IT,但我不能排除他们长大后可能拥有自己的 IT。我们访问公共网络共享,并可能使用位于两家公司的资源。此外,我们的一些用户经常从一家公司到另一家公司旅行。
我在新域中看到的优势主要与更整洁的组织、在专门部门的情况下更好的管理有关,同时仍然保留使用来自森林的 GPO 的优势。我会建立一个信任,让用户访问不同域中的数据。
我看到的唯一缺点可能是在某些情况下必须添加两个用户组,如果设置不正确,基于 AD 的软件可能会出现某种问题。我没有这方面的经验,所以我想听听您的意见,也许可以帮助我找出可能出现的问题。
Eva*_*son 11
创建另一个域会增加复杂性。在您能够维护单个域环境的范围内,您将限制复杂性。我发现在单域环境中管理活动更容易。
可视化组织(“更整洁的组织”)可以通过其他功能实现,例如 Active Directory 中的组织单位 (OU)。就我个人而言,我认为这种“整洁”的理由不足以创建第二个域。
通过在 OU 上委派控制,您可以在多域环境中设想的几乎任何控制委派方案都可以在单个域中处理。
从登录效率的角度来看,对于将在该位置使用的任何域,在某个位置拥有域控制器 (DC) 计算机是有意义的。如果您要让用户在不同地点之间旅行,如果您有一个多域环境,您将需要更多 DC(每个域至少一个)。
根据我的经验,跨林组策略对象 (GPO) 有点不稳定。您将需要来自托管 GPO 的域的 DC,该 DC 与应用来自该域的 GPO 的计算机连接良好。与单个域相比,这也可能导致在多域环境中需要更多 DC。
我的观点是,只有当您需要多个域级密码策略(并且由于某些技术原因无法在单个域内使用细粒度密码策略),或者域复制流量时,才需要多域环境会如此极端,以至于需要隔离以限制复制流量。
编辑:
如果您确实需要在法律上或组织上进行分离,那么为另一家公司建立一个单独的森林确实是唯一的出路。除了对目录的复制进行分区之外,同一林中的单独域不提供实际的分离。
正如您目前提出的问题一样,在我看来,您在 Active Directory 中设置新站点可以获得与使用新域一样多的里程。您将在新的物理位置创建一个新的域控制器,但位于相同的域和林中,并将其设置为为相关新站点提供服务(通过 Active Directory 站点和服务管理工具)。
当然,如果没有对 Mathias 的评论作出澄清,我不敢肯定地说出来。如果这确实是两家不同的公司,那么您可能应该为每家公司都有一个森林,即使它们合作紧密。将它们绑定到一个 AD 林可能会产生不良的法律或合规性影响,这可能会超过简单 Active Directory 管理的优势。然后是当/如果这两家公司分道扬镳时会发生什么的问题。谁“拥有”现有森林,您如何执行适当的脱离工作,谁支付这项工作的费用,以及谁支付为现在没有森林的公司建立新森林的费用?
联合服务的存在正是为了允许公司林之间的交互以及这些不同林中资源的交叉使用,因此不同的组织无需共享同一林即可协同工作。这是一个更复杂的设置,需要更多的管理,但如果这里真的有两家公司在玩,那么我推荐的设置是 - 两个独立的森林使用联合服务相互连接。当每个组织拥有自己的森林,并使用联合服务相互连接时,所涉及的麻烦、混乱和政治更少,并且不必担心协作结束后会发生什么。
| 归档时间: |
|
| 查看次数: |
19551 次 |
| 最近记录: |