如何创建专用林根域?我熟悉 Active Directory 并在“高级模式”中使用过 dcpromo.exe,但我不知道如何创建专用林根域?
当我在这里时,如果某个林离线,那么作为该林成员的域控制器还能工作吗?
答案1
您在林中创建的第一个域自动成为林根域,您无需执行任何特殊操作,只需告诉 DCPromo 向导它是新林中的一个新域即可。
答案2
我认为您说的是“空根”Active Directory 设计策略。即您创建一个林根域,该域最终没有用户或资源,仅用作包含资源的子域的父域。
为此,您只需像通常使用 DCPROMO 进行新的 AD 部署一样创建新林即可。然后,在子 DC 上创建子域。在创建林根域期间,您无需执行任何特殊操作。
如今,“空根”只是一种政治结构。事实证明,“空根”并不安全。任何子域中的“域管理员”都可以相当轻松地成为“企业管理员”。
当您问“当我在这里时,如果森林离线,作为森林成员的域控制器是否仍能工作?”时,我想您问的是“如果我丢失了所有森林根域控制器会发生什么?”
那会很糟糕。你可能能够解决使用快捷方式信任时发生的 Kerberos 信任路径问题,但通常您不想丢失林根域中的所有域控制器,否则您正在考虑重建整个林。不要那样做(tm)。
编辑:
您应该始终尽可能尝试使用单个域。除非您需要多个密码策略(并且无法使用 Windows 2008 Active Directory 中的细粒度密码策略功能),否则请尽量坚持使用单个域。
如今,空根策略实际上没有多大意义,除非在政治环境下,即某个组织的某个部分不能“接受”森林根可能被其他人“拥有”。(即便如此,这也只是一个虚假的政治论点,因为从技术上讲,空根策略没有安全“牙齿”。)
当您需要多个密码或想要限制全域 NC 的复制范围时(或者,我想,如果您想使用基于 SMTP 的 AD 复制),多域部署是有效的。如果您没有这些需求,那么您真的不需要多域。
如果您确实需要组织各部分之间的隔离、对 AD 模式/配置的保护以及对组织不同部分之间管理委派的严格约束,那么您可能需要多林基础设施(尽管这是最复杂和最难管理的类型)。