所以这里是场景 –
我们正在将IT集中到一个位置的数据中心。 我目前有12个不同的运营公司需要共享安全和交换function。 就目前而言,它们都是不同层次的单独的个别领域。 有一个公司广泛的会计系统,需要与目前在一个完全独立的领域运行的AD集成,以及我希望看到人们使用自己的AD日志信息使用。
这是我的问题 –
知道所有的Active Directory域需要被触及,而不pipe它们达到统一的function级别,并且无论做什么,都有重要的工作要做,哪个configuration最好? 我知道每个人都有几个要点,但是我想确保在selectpath之前,我已经覆盖了我的基地。 我去一个单一的森林\父域? 或者使用企业域和运营公司之间的信任来分离域,如辐条和集线器configuration? 各有什么优点和缺点?
谢谢-
额外的细节:有一些需要有行政pipe理委员会…它作为更多的特许经营环境比单一的公司。 将有行政人员只负责他们的公司,没有更多。 硬件和软件的开销是没有问题的,每个公司都使用不同的策略集,所以政策部分没有提供任何真正的优势或劣势。
如果运营公司遍布美国,这是否会改变你的build议呢?
最好的理由不去与一个单一的领域(和森林),如果你绝对不得不在每个森林中有单独的pipe理员。 这是安全边界。 如果同一个人将有全套的钥匙,那么就轻松一点。 要清楚的是,我并不是在谈论某些任务的授权 – 这是一群将要成为企业pipe理员的人。
这并不会改变我的build议,因为如上所述,您可以根据需要委托事项。 如果部分组织的本地pipe理员需要能够编辑分配给其OU的GPO,则可以将其作为示例给予他们。 但是,如果他们需要完全控制自己的部分领域,以至于他们需要能够locking你,那么你需要单独的森林,并且可能有一个艰难的分时交换。 所以,既然你们正在分享“安全与交stream”,那么听起来好像单一领域仍然是正确的路要走。
就个人而言,如果这是一个集中化项目,我会使用一个域名,并使用OU来分隔东西。 这节省了每个子域的完全冗余,使漫游和移动更容易,大大减lessconfiguration和复杂性。
如果您正确configuration网站和服务,几乎没有缺点。
父/子域结构是二十世纪的一件神器。 有一个基本原理,也许是在收购/分拆公司时,将业务实体隔离在自己的领域更有意义。
我们有很多,有一个有13个子域的父根域。 所有这些领域都有信托,如果这些信托破裂了,其他所有事情也是如此。 以我的经验来看,这些破坏通常是自我造成的,但影响是非常高的。 哦,他们可以分两个方向,所以如果你走这条路,确保你知道如何使用nltest来validation双方在所有领域的信任,如果你有问题。
还有其他的影响。 所有这些域都具有复制到全局编录的多个分区。 我们的GC有40多个分区。 复制更为复杂,还有更多需要破解。 像repadmin? 你最好,如果你去与单独的域名。
除非有迫切的需要,否则我不会追求父母/子女的域名策略。
另一个问题是,如果会计应用程序所在的域需要与其他服务器(如前端Web服务器)进行通信,并且您正在使用模拟,则这些服务器需要位于同一个域中。 当然,如果你有扁平的域,这不是一个问题,但是一些大的,分布式的AD实现被这个烧毁。 用户帐户可以在任何域中,但是如果使用模拟,资源服务器(如前端Web服务器和后端数据库)需要位于同一个域中。