我的一个同事想给我们的森林添加一个域名。 他说这对安全有好处。 我相信他,但我不知道为什么它比只有一个域名更好。 我在维基百科读到这个,但它没有来源:
“微软build议在活动目录中尽可能less的域名,并且要依靠OU来产生结构并改进政策和pipe理的实施。”
我不知道这是否正确。 我希望发表意见。
谢谢。
如果你的同事如果没有对他的陈述进行辩解,定性或量化的说法“这对安全有利”,他可能不知道他在说什么。 他有没有给你任何细节的思路?
微软曾经说过域名是一个安全边界,但现在他们同意森林是真正的安全边界。 拥有多个域现在主要用于隔离特定区域的stream量(例如东方与西方,或北美与欧洲)。
也就是说,在很多情况下,使用多个域的select最终是错误的select,因为它引入了服务器和pipe理的额外成本。
OU可以通过委派进行configuration,以隔离足以满足几乎所有森林间安全要求的pipe理和安全任务。
我的build议是,除非你有一个重要的networking连接性差异,在两个不同的地点留在一个单一的域名。
更新:我也忘了提及Windows 2008允许OU级别的密码策略,使得用于分离域的主要原因之一被淘汰。
更多的领域等于更多的麻烦和成本,除非:
“他说这对安全有好处,”通常的代码是“我不信任域pipe理员组中的人员”。 在AD部署期间,我在旧的工作中遇到了一些问题。 因此,我们最终得到了三个对等域名,Enterprise Admins组中的每个人都必须经过背景检查,并在添加之前从每个子域名获得批准。
我通常只为地理上分散的业务单位做新域名,因为echobeach2提到的第一个原因是:你希望本地pipe理员能够pipe理他们的本地域,但是你不希望他们拥有对林中所有域的pipe理权限。
让AD复制不断地在VPN隧道上运行也是一件痛苦的事情。
否则,越less越好。