我们的公司已在公司内开设了一个新的业务部门,该部门应为一个独立实体。但是,我们的一些用户将被“借调”到新实体。我想要做的是在虚拟机中运行新的 Windows Server 2008 域控制器,并以公司名称建立自己的域。我需要我们现有的域信任新域,并允许这几个用户访问新域。但是,我不需要新域中的用户访问主域。
它实际上不是一个“子”域;它不是一个完全独立的域(因此不是 child.domain.local,而是 domain2.local)。它将共享相同的网络(我将把它放在自己的 VLAN 上),并且它将使用相同的资源,例如互联网连接、防火墙、路由器和现有的 Exchange 2010 基础设施等。
这是否只是运行 VM、建立网络连接、然后执行 DCPROMO 并运行向导在现有林中创建新域的问题,然后我们就可以开始了?
我只是想再检查一下,确保我的想法是正确的,然后再继续。有什么我需要注意或计划的,我遗漏了什么吗?
答案1
如果这是一个独立域,那么它就不会位于同一个林中。它将位于自己的林中。这是您想要做的吗?
如果问题 1 的答案是肯定的,那么您将选择在 DCPROMO 期间在新林中创建新域的选项。
如果对 1 的回答是肯定的,那么一旦创建新的林/域,您就可以从新林到旧林创建单向、传出的外部信任,并选择对信任使用“选择性身份验证”。这将允许原始林中的选定用户访问新林中的选定资源。
答案2
如果您希望创建一个完全独立的域,而不是子/父域关系,那么您已经很接近了。当您创建新的服务器和域时,您将希望在新的林中创建一个新域。此后,您可以配置跨林信任关系(双向或单向,正如您似乎想要的那样)。