我对企业中的域基础架构有一些疑问。我们是一家在世界各地拥有多家子公司的公司。我属于 IT 部门,我们不会在每个站点之间频繁出差,因此我们有时会使用 MSP 来帮助我们,尤其是在 2 个站点上。
在我们公司,我们目前有 3 个森林:
- 森林 A-1 (多家子公司)
- Forest A-2(同名,但不相同……别问 - 1 家子公司)
- 森林 B(1 个子公司)
森林 A-1 和森林 B 之间存在信任关系。我们之所以拥有森林 B,正如有人向我解释的那样(当时我并不是公司的一员),是因为我们与一家需要域管理员权限的 MSP 合作。它位于一个岛上,我们在 MSP 方面没有选择权,他们在那里建立了网络,所以它被接受了。
我们在森林 A-1 和森林 B 上与 Azure AD(唯一租户)建立了联合,但出于显而易见的原因,我们无法与森林 A-2 建立联合。
此外,由于森林 A-2 与森林 A-1 同名,因此它们实际上无法通信。我们确实在那里使用了 MSP 的服务,但它们的限制不像森林 B 那样严格。
因此,为了解决这些问题,我们决定删除森林 A-2 并重新启动。那里没有太多东西,只有 20 台计算机和几台服务器。我支持将此站点添加到森林 A-1 并使用本地管理员帐户(甚至在服务器上)和 OU 上的权限来管理 MSP 的权限,但我的一些同事不同意,因为他们在森林 B 上与 MSP 打交道的经验。
因此他们一直告诉我,与使用安全 OU 处理站点相比,让 MSP 拥有域管理员权限的不同林会更安全。这可能会出现 AD 复制问题,他们需要进行干预,而授予他们有限时间的域管理员权限并不是一个好主意(因为域管理员的范围)。
我对多森林的看法是,处理用户权限和策略似乎更复杂。我们的团队每天使用较少的森林会更简单。
我想听听你对此的看法。你认为用 OU 处理所有事情会更好,还是创建不同的林并授予 MSP 管理权限更好?
感谢您的输入。