我的一位同事想在我们的森林中添加一个域。他说这有利于安全。我相信他,但我不知道为什么这比只有一个域更好。我在维基百科上读到过这个,但没有来源:
“微软建议 Active Directory 中的域尽可能少,并依靠 OU 来生成结构并改进政策和管理的实施。”
我不知道这是否正确。我希望得到评论。
谢谢。
答案1
如果您的同事说“这对安全有好处”,但没有证明、限定或量化他的陈述,那么他可能不知道自己在说什么。他有没有向您透露他的思路细节?
答案2
微软曾经说过域是安全边界,但现在他们同意森林才是真正的安全边界。拥有多个域现在主要用于隔离特定区域的流量(例如东部与西部,或北美与欧洲)。
话虽如此,在很多情况下,使用多个域的选择最终是错误的选择,因为它引入了额外的服务器和管理成本。
可以通过委派配置 OU 来隔离管理和安全任务,足以满足几乎任何林间安全要求。
我的建议是,除非两个不同位置之间的网络连接差异很大,否则请保留单个域。
更新: 我还忘了提到 Windows 2008 允许 OU 级别的密码策略,这使得使用单独域的主要原因之一变得过时。
答案3
域名越多,麻烦和成本就越大,除非:
- 您无法控制谁是域管理员,并且您希望某些对象由不同的 AD 管理员管理
- 政府对数据运行地点或密码的某种规定
- 一些不懂技术的笨蛋对自己的行为感到不满,并“想要自己的东西”(试着反抗这种行为)
答案4
我通常只为地理位置分散的业务部门创建新域,原因如 echobeach2 所述:您希望本地管理员能够管理其本地域,但不希望他们拥有林中所有域的管理权限。
通过 VPN 隧道或其他方式不断运行 AD 复制也很麻烦。
否则,越少越好。