“多林环境”是什么意思？

Question 1

随着您从域 -> 林 -> 多个林信任级别，LDAP 功能集成变得越来越松散。在域内，所有内容默认都是受信任的（但可能未经授权），在林内，传递信任允许所有成员域具有可见性并信任其他成员域中的对象，同时保持复制流量和管理边界等内容受到控制。

具有紧密组织关系但出于某种原因需要保持不同的域属于林，以便简化大规模管理\组织。因此，您可能将 production.acme.com、test.acme.com、Tokyo.acme.com 等作为单个林中的独立域。您将拥有一致的名称空间和架构，以及（一般而言）用于跨域访问或提供对对象的访问的简单机制，因为默认情况下，您在林内的所有域之间具有可传递信任。

如果您的组织结构要求某些域具有不同的模式，或者您要求多个 IT 组直接拥有其目录服务，或者您需要在某些域之间有更完整的管理分离，那么您就需要多林设计，并且在林之间（或可能仅在指定的域之间）建立某些信任。

以上内容基于 Active Directory，但相同的原则应适用于任何 LDAP 环境。

Answer

随着您从域 -> 林 -> 多个林信任级别，LDAP 功能集成变得越来越松散。在域内，所有内容默认都是受信任的（但可能未经授权），在林内，传递信任允许所有成员域具有可见性并信任其他成员域中的对象，同时保持复制流量和管理边界等内容受到控制。

具有紧密组织关系但出于某种原因需要保持不同的域属于林，以便简化大规模管理\组织。因此，您可能将 production.acme.com、test.acme.com、Tokyo.acme.com 等作为单个林中的独立域。您将拥有一致的名称空间和架构，以及（一般而言）用于跨域访问或提供对对象的访问的简单机制，因为默认情况下，您在林内的所有域之间具有可传递信任。

如果您的组织结构要求某些域具有不同的模式，或者您要求多个 IT 组直接拥有其目录服务，或者您需要在某些域之间有更完整的管理分离，那么您就需要多林设计，并且在林之间（或可能仅在指定的域之间）建立某些信任。

以上内容基于 Active Directory，但相同的原则应适用于任何 LDAP 环境。

Question 2

简而言之，这意味着您有两个或多个林需要交互。这意味着您要么在林之间使用信任，要么设置联合服务，要么为每个连接手动输入您的凭据。

根据我的经验，这种情况有以下三种情况：

- 您的公司已收购或被另一家公司收购（且尚未合并），或

-你确实希望将生产环境和测试环境完全分开，或者

- 贵公司中担任架构师角色的人员不知道每个林可以拥有多个域。

Answer