我想为域林中的两个不同位置配置两个子域。我的问题是如何配置它,以便用户位于顶级林,并在两个子域之间共享,但站点特定资产(例如服务器和工作站)存储在每个子域中。此外,每个子域树资产都可以 DNS 并获取整个林的相应资产?
答案1
您可以使用林中的子域执行此操作,根据需要创建新域(每个域将需要几个域控制器),但虽然这应该可行,并且 AD 林中的信任模型应该意味着通信正常进行,但创建多个域通常不是一个好主意;大约 16 年前,当我们迁移到 AD 时,我们认为将 5 个 Windows NT 域合并到 1 个林中的 2 个 AD 域中是明智之举。事后看来,我真的希望我们只选择一个域。
您可以在一个域内的多个 OU 中执行所有这些操作,这可能更好,而且无论如何几乎肯定会更容易管理。您可以将用户和资源分离到单独的 OU 中,并且根据您想要分离的原因,您可以执行以下一项或多项操作:
- 如果您担心多个站点,则可以在一个域中创建多个站点,允许设备和/或用户身份验证在不需要时“优先”同一站点中的 DC,而不是跨越 WAN 链接。
- 如果您需要保持不同公司部门之间的“政治”分离,则可以通过将用户和设备拆分为 OU 来实现。Y 部门并将管理权限(或您希望的任何权限子集)委托给仅对“他们的”OU 拥有权限的部门管理员。