我一直在阅读很多东西,试图弄清楚为什么我会build立一个“多领域 – 一个森林”的架构,但我还没有find任何理由去做。 我得出的结论是,你最好使用“一个领域和代表团”或“与信任的多个领域”。
有一个报价是我的核心:
“由于域不是安全边界,所以恶意服务pipe理员(如Domain Admins组的成员)可能使用非标准工具和过程来获取对林中任何域的完全访问权限,例如,非根域中的服务pipe理员可以使自己成为“企业pipe理员”或“架构pipe理员”组的成员。“( 来源 )
有没有人可以想到一个场景,你会使用多个域的森林?
谢谢
在这个时候,我正在使用一个双重域名森林,将一个严重破坏和错误configuration域名的企业迁移到我设置正确的域名。
在域迁移中避免任何停机时间对于多域森林来说无疑是非常重要的用例。
当然,如果你没有理由需要一个,留在一个单一的域名森林。 如果/当你需要多个域名时,你就会知道,而且没有理由给AD森林添加复杂性,特别是当你从中获益不多时。
你的问题的简短答案是,不。 多域森林通常没有好的理由。 旧的指导原则基本不变,即提供自主性和/或控制性复制。
这个“自治”包括单独的密码策略。 如果一个组织需要多个密码策略,实现它的唯一方法是使用多个域。 Windows Server 2008使用细粒度密码策略解决了这个问题。
另一个复制可能仍然是一个缓解因素,但是WAN拓扑结构和AD复制中的改进实际上也消除了这个观点。
对于备份/恢复或DR,多域林或者具有空林根域的森林不会使备份和恢复更容易。 事实上,在森林恢复的情况下,这使得它更加困难。