对于单个 AD 域,我对 AD/MS Exchange 等非常熟悉。我不确定的是,在接管我们几家子公司的 IT 时,我“应该”如何设置 AD。
它们都想要相同的基本服务(AD、Exchange、终端服务器)等。由于安装了特殊应用程序,我们可能必须将它们分离到隔离的 TS 环境中,但除此之外,我真的看不出在 AD 中使用子域的任何理由(它将要求我们拥有更多的 DC)。
在使用单个域名进行此操作之前,我应该注意什么?子设置/信托等是否有我不知道的好处?
答案1
由于涉及额外的开销,我不建议使用多域林,但以下原因除外:
您出于业务、法律或政治原因需要维护单独的域名
贵公司之间存在无法解决的不良\不稳定的连接问题
如果这是 W2K3 域\林,则需要实施不同的密码策略
答案2
理想情况下,您的目录服务将反映您的组织结构,而管理将反映负责 IT 的各个部门之间的硬链接和软链接。由于您正在接管这些其他公司的 IT 控制权,因此将所有内容保持在一个层次结构中是有意义的。您需要实施的任何管理授权和控制都应该在一个 AD 域的上下文中轻松管理。几年前,我会担心可扩展性,但对于最新版本的 AD,您应该没问题。您的计划似乎是最好的选择,前提是没有其他特殊情况。
答案3
首先在两个林之间建立交叉链接信任,以允许早期跨林资源访问,然后将用户和计算机作为一个项目迁移到您的域。