我读了很多资料,试图弄清楚为什么要设置“多域 - 一个森林”架构,但我没有找到这样做的充分理由。我得出的结论是,你最好使用“一个域和委托”或“具有信任的多个域”。
有一句话对我来说非常重要:
“由于域不是安全边界,恶意服务管理员(例如域管理员组的成员)可能会使用非标准工具和程序来获取对林中任何域或林中任何计算机的完全访问权限。例如,非根域中的服务管理员可以使自己成为企业管理员或架构管理员组的成员。”(来源)
有谁能想到使用一个林和多个域的场景?
谢谢
答案1
我此刻正在使用双域林将企业从严重损坏和配置错误的域迁移到我正确设置的域中。
避免域迁移过程中的任何停机对于多域林来说无疑是一个非常重要的用例。
当然,如果您没有理由需要单域林,请继续使用单域林。如果/当您需要多个域时,您会知道,并且没有理由增加 AD 林的复杂性,尤其是当您这样做没有任何好处时。
答案2
对你的问题的简短回答是,不。通常,多域林没有什么好的理由。旧的指导原则基本没有变化,即提供自主权和/或控制复制。
这种“自主性”包括单独的密码策略。如果一个组织需要多个密码策略,那么实现它的唯一方法是使用多个域。Windows Server 2008 使用细粒度密码策略解决了这个问题。
另一个因素,复制,仍然可能是一个缓解因素,但 WAN 拓扑和 AD 复制的改进也确实消除了这一争论。
至于备份/恢复或 DR,多域林或具有空林根域的林不会使备份和恢复变得更容易。事实上,在林恢复场景中,它使备份和恢复变得更加困难。