你如何创build一个阉割的森林根域? 我熟悉Active Directory,并使用“高级模式”中的dcpromo.exe,但我不知道如何创build一个已定义的林根域?
虽然我在这里,如果他们的森林要离线,森林成员的域控制器是否还能工作?
在森林中创build的第一个域自动是森林根域,您不必做任何特殊的事情,只需告诉DCPromo向导它是新林中的新域即可。
我想你正在谈论“空根”Active Directorydevise策略。 这是您创build森林根域的最终位置,它最终没有用户或资源,只是用作包含资源的子域的父级。
为此,您只需像使用DCPROMO的新AD部署那样创build新的目录林。 然后,您在您的子DC上创build您的子域。 在创build林根域时没有什么特别的。
“空根”今天只是一个政治结构。 已经表明,“空根”不提供安全保障。 任何子域中的“域pipe理员”都可以很容易地将自己变成“企业pipe理员”。
当你问“当我在这里的时候,如果他们的森林要离线,森林成员的域控制者仍然能够工作吗?”,我想你是问“如果我失去了所有森林根域控制器会发生什么? “
那会很糟糕。 您可能可以使用快捷方式信任来解决Kerberos信任path问题,但通常情况下,您不希望丢失林根域中的所有域控制器,或者正在查看重build整个林。 不要那样做(tm) 。
编辑:
您应该尽可能使用单个域名。 除非您需要多个密码策略(并且不能使用Windows 2008 Active Directory中的粒度密码策略function),否则请尽量坚持使用单个域。
空头根本没有什么意义,除了在某些组织的某些部分不能“接受”森林根可能被别人“拥有”的政治情况下。 (即使这样,这只是一个假的政治论点,因为在技术上,空洞的根策略没有安全的“牙齿”。)
多域部署是有效的,当你需要有多个密码或者你想限制整个域NC的复制范围(或者,如果你想使用基于SMTP的AD复制)。 如果你没有这些需求,你真的不需要多域。
如果您确实需要在组织的各个部门之间进行隔离,保护AD架构/configuration以及在组织的不同部分之间严格限制pipe理委派,那么您可能需要多林基础架构(尽pipe这是最复杂和最烦人的types来pipe理)。