我已经阅读过这里的 AD 文章,但对于站点与子域的比较仍然感到困惑。
我一直在使用 Windows 2012 R2 域和功能级别来管理迷你私有云。
我们希望确保一个子域的用户无法看到其他子域的任何内容。我们使用隔离网络和子域配置来实现这一点。
必须在每个子域中粘贴一个 ADC 变得越来越麻烦,我们希望转换为允许相同安全隔离但集中管理的模型。
我曾经考虑过将计算机和用户分为单独的 OU,但认为这还不够独立。
然后我研究了站点,这更有希望,但却发现我并不真正了解站点背后的概念以及它们的优点和缺点。
当我阅读这里的文章时,我不断看到关于子域被推到一边以支持新模型的提及,但无法将子域的安全隔离概念与 OU 或站点联系起来。
有没有什么地方或什么东西可以让我更深入地了解如何以及何时使用 OU 或站点?
答案1
站点会影响计算机/用户使用哪个域控制器进行身份验证、其他域控制器使用哪个域控制器进行复制以及复制发生的频率。站点通常遵循基础设施的某些物理方面(尽管不一定)。
站点无法帮助在多租户环境中对目录进行分区。这可能需要使用 OU、权限和其他一些精心策划相关设置。(假设您所做的在多租户/单一森林中是可行的)。
答案2
站点是一组连接良好的子网,被视为指定位于该站点的 DC 的本地子网。客户端的站点成员身份将决定哪个 DC 将对该客户端和用户进行身份验证。
域是允许将组策略应用于大量用户并可用于设置安全上下文的命名空间。旧文献将域指定为安全边界,但事实并非如此。
OU(组织单位)是一种 Active Directory 结构,允许您将组策略应用于该 OU 的所有成员。OU 还可用于委派管理权限。
从您目前所说的内容来看,通过信任(信任允许您安全地使用凭据从一个森林到另一个森林)来分离森林(即安全边界)可能是实现分离和控制的方法。