场景是这样的:
我们正在将 IT 集中到单一位置的数据中心。我目前有 12 家不同的运营公司,它们需要共享安全和交换功能。目前,它们都是不同级别的独立域。有一个公司范围的会计系统需要与 AD 集成,目前运行在一个完全独立的域中,我希望人们使用自己的 AD 登录信息来使用。
这是我的问题-
知道无论如何都需要触及所有 Active Directory 域以使其达到统一的功能级别,并且无论如何都有大量工作要做,哪种配置最好?我知道每种配置都有几个要点,但我想确保在选择路径之前我已经覆盖了基础。我是否要选择单个林\父域?还是使用公司域和运营公司之间的信任(如辐条和中心配置)来分离域?每种配置的优缺点是什么?
谢谢-
其他详细信息:需要进行一些管理授权...它更像是一个特许经营环境,而不是一家公司。管理人员只负责自己的公司,没有其他事情。硬件和软件的管理费用不是问题,每家公司都使用不同的政策,因此政策部分没有真正的优势或劣势。
如果运营公司遍布美国各地,这会改变您的建议吗?
答案1
不使用单个域(和林)的最重要原因是,如果您绝对必须在每个林中拥有单独的管理员。这就是安全边界。如果同一个人将拥有全套密钥,那么请让他们轻松一点。需要明确的是,我说的不是某些任务的委派 - 这是将成为企业管理员的那群人。
这不会对我的建议产生太大影响,因为您可以根据需要委派任务,正如我上面所说。例如,如果组织的一部分有本地管理员需要能够编辑分配给其 OU 的 GPO,您可以将其交给他们。但是,如果他们需要完全控制其域的一部分,以至于他们需要能够将您锁定在域之外,那么您需要单独的林,并且共享交换可能会很困难。因此,由于您正在共享“安全性和交换”,因此听起来单个域仍然是正确的选择。
答案2
就我个人而言,如果这是一个集中化项目,我会使用一个域并使用 OU 来分离事物。这样就无需为每个子域提供完全冗余,使漫游和移动更加容易,并大大减少配置和复杂性。
如果您正确配置站点和服务,几乎不会有任何缺点。
答案3
父/子域结构是 20 世纪的产物。曾经有这样一个理由,也许在收购/分拆公司时,将业务实体隔离在自己的域中更有意义。
我们有一个父根域和 13 个子域。所有这些域都有信任,如果信任破裂,其他所有域也会破裂。根据我的经验,这些破坏通常是自己造成的,但影响非常大。哦,它们可以在两个方向上破裂,所以如果你走这条路,如果你遇到问题,请确保你知道如何使用 nltest 来验证所有域在两个方向上的信任。
还有其他影响。所有这些域都有多个分区,这些分区被复制到全局目录。我们的 GC 有大约 40 多个分区。复制更复杂,而且更容易中断。比如 repadmin?最好使用单独的域。
除非有迫切需要,否则我不会推行父/子域策略。
还有一件事,如果会计应用程序所在的域需要与其他服务器(例如前端 Web 服务器)通信,并且您正在使用模拟,则这些服务器需要位于同一个域中。当然,如果您有平面域,这不是问题,但一些大型分布式 AD 实现会因此而受到影响。用户帐户可以位于任何域中,但如果使用模拟,资源服务器(例如前端 Web 服务器和后端数据库)需要位于同一个域中。