小编Tal*_*Tal的帖子

我是 AD 和 Windows Server 的新手，这听起来应该很明显，但我似乎无法弄清楚树和森林之间的区别。

根据我正在阅读的书Active Directory For Dummies：：

简而言之，只有在需要使用多个命名空间时才创建森林。如果因为需要多个命名结构而需要多个命名空间，则需要为每个命名空间规划一个额外的树。

书中还提供了这张图：

我不完全理解这个说法，但根据图表，如果你有Corp.com和Newcorp.com，你应该在同一个森林中有 2 棵树，而不是 2 个不同的森林。然而，根据this：

Windows Active Directory 命名最佳实践？

主要推荐的命名“AD”的方式是：

• 您公开使用的域的未使用子域。例如，如果您的公共网络存在是example.com您的内部 AD 可能命名为类似ad.example.com或 internal.example.com。

使用推荐的方法，如果您将活动目录命名为 ad.Corp.com，然后需要将 ad.Newcorp.com 作为新树添加到您的森林中，这看起来会很奇怪，因为 ad.Newcorp.com 会成为名为 ad.Corp.com 的森林中的一棵树。

我在这里缺少什么？

编辑：

根据https://www.youtube.com/watch?v=Whh3kPS0FdA，如果您符合以下条件，您通常只需要一个新森林：

• 与 AD 林与您的架构不同的另一家公司合并
• 正在测试对架构进行更改的应用程序，并且您不希望它影响您的生产架构

我最大的问题是：你会给你的森林命名什么，这样即使你以后添加不同的 DNS 命名空间（比如添加 NewCorp.com），你最终也不会得到一个名为 Corp.com 的森林和一个名为 NewCorp.com 的树，或者更奇怪的东西？如果森林可以包含多个 DNS 命名空间，为什么建议将其命名为 ad.example.com 而不是通用名称？

编辑2：

同一本书建议使用诸如 AD.LOCAL 之类的通用名称作为林根域的名称，这是有道理的，因为这将允许您拥有多个 DNS 名称空间。然而，使用 SOMETHING.LOCAL 不再被认为是林根域的好名称，那么新建议的命名约定如何处理不同的 DNS 命名空间？

我有一个新安装的 Linux 发行版。它有一个具有默认密码的普通用户和一个锁定的 root 帐户（root 上没有密码 - 不能直接通过 SSH 连接）。我希望能够运行 ansible playbook 来配置此服务器，并通过更改其密码锁定此默认帐户，而无需执行额外的带外步骤。

我的剧本所做的大部分设置都需要 root，所以它被配置为作为默认用户 ssh 进入，成为 root，并运行所有命令。这很好用。问题是更改密码。

如果我尝试使用用户模块更改用户的密码，它会成功，但之后的所有任务都会失败。即使我将更改作为剧本中的最后一步进行，所有应该在最后运行的处理程序都会失败。

对于类似的问题，我在网上遇到了 2 个建议：

• 使用 RSA 密钥
• 使用初始播放以某种方式测试并更改密码

使用 RSA 密钥需要您提前设置 RSA，因此不是带内的。

我一直在尝试使用初始播放以某种方式执行此操作，但到目前为止，第二个初始播放无法使用默认密码登录，ansible 退出并出现错误，并忽略其他任务，以及下一个播放。

还有一个办法做到这一点使用ssh通，这表现在这里，它应该工作，但似乎更多的是黑客攻击，和ssh通并不总是容易获得，就像上运行MacOS的ansible机器。

十多年前这里讨论过一个类似的主题，但看起来 Dave 通过将 Linux 设置为在您尝试以默认用户身份登录时显示“帐户已禁用”消息并改为更改用户来解决此问题，这听起来也像它应该可以工作，但与简单地更改默认用户的密码不同。

ansible 是否可以在不断开连接的情况下更改其运行用户的密码？