Quando dovresti creare un dominio aggiuntivo nella foresta?

La mia azienda sta aprendo un nuovo sito in un paese diverso. Qui installeremo nuovi server e ho una domanda su cui non posso decidere. Dovremmo creare un nuovo dominio nella foresta o dovremmo usare lo stesso dominio e implementare un nuovo controller di dominio, forse e RODC?

Le due società sono separate, ma collaborano strettamente. Inoltre gestiamo l'IT per entrambi, ma non posso escludere che possano avere un proprio IT quando crescono. Accediamo a parti comuni di networking e potrebbero utilizzare risorse situate in entrambe le società. Inoltre, alcuni dei nostri utenti stanno spesso viaggiando da un'azienda all'altra.

  • Condivisione di file e printingnti non funzionanti in Windows Server 2008 R2
  • Impostare l'accesso predefinito di Windows 7 a un account non dominio
  • Laptop che si sveglia dal sonno
  • Come denominare un Windows / NTFS VSS?
  • Stai installando Windows 7 RC come sistema operativo primario?
  • Cosa devo fare per essere cauto quando si modifica un nome di accesso utente in Active Directory?
  • I vantaggi che vedo in un nuovo dominio sono principalmente legati ad un'organizzazione più affidabile, una migliore gestione in caso di un reparto dedicato, pur mantenendo i vantaggi di utilizzare gli oggetti GPO dalla foresta. Avrei impostato una fiducia per consentire agli utenti di accedere ai dati in diversi domini.

    Gli unici svantaggi che vedo potrebbero essere wherer aggiungere in entrambi i gruppi di utenti e forse qualche tipo di problema con il software basato su AD se non correttamente impostato. Non ho esperienza con questo, quindi vorrei sentire la tua opinione su di esso e forse aiutarmi a capire where potrebbero sorgere i problemi.

    2 Solutions collect form web for “Quando dovresti creare un dominio aggiuntivo nella foresta?”

    Creare un altro dominio aggiunge la complessità. Nella misura in cui si è in grado di mantenere un ambiente di dominio singolo si limiterà la complessità. Trovo che le attività amministrative siano più facili in un ambiente di dominio unico.

    L'organizzazione visiva ("un'organizzazione più ampia") potrebbe essere realizzata con altre funzionalità, come unità organizzative (OU) in Active Directory. Personalmente, non penserei a tale ragione di "tenerezza" sufficiente a creare un secondo dominio.

    Pertanto, qualsiasi delegazione di scenario di controllo che è ansible immaginare in un ambiente multi-dominio può essere gestita in un singolo dominio delegando il controllo ad un OU.

    Dalla prospettiva di efficienza di accesso, è opportuno disporre di computer di dominio (DC) in una posizione per qualunque dominio verrà utilizzato in quella posizione. Se avete intenzione di avere utenti che viaggiano tra le sedi, è necessario avere più DC (uno per each dominio, alless) se si dispone di un ambiente multi-dominio.

    Gli oggetti per i criteri del gruppo di foresta trasversale hanno, per mia esperienza, un po 'fiaccolato. Occorrerà un DC dal dominio in cui è ospitato un object Criteri di gruppo ben connesso alle macchine che applicano gli oggetti Criteri di gruppo da tale dominio. Ciò può anche causare la necessità di più DC in un ambiente multi-dominio rispetto ad un singolo dominio.

    Il mio parere è che un ambiente multi-dominio è necessario solo quando si richiedono più criteri di password a livello di dominio (e non possono utilizzare criteri di password corretti in un singolo dominio per qualche ragione tecnica) o quando il traffico di replica del dominio sarebbe così estrema da garantire l'isolamento per limitare il traffico di replica.

    Edit:

    Se hai davvero bisogno di separazione, legalmente o organizzativamente, allora una Foresta separata per l'altra società è davvero l'unico modo per andare. I domini separati nella stessa foresta non offrono alcuna separazione pratica, a parte la partizione della replica dell'Indice.

    Poichè la tua domanda è attualmente proposta, mi sembra che potresti get tanto chilometraggio dalla creazione di un nuovo sito in Active Directory come farebbe con un nuovo dominio. Potresti creare un nuovo controller di dominio nella nuova posizione fisica, ma nello stesso dominio e nella foresta e impostarla per servire il nuovo sito in questione (tramite lo strumento di gestione siti e servizi di Active Directory).

    Naturalmente, senza un chiarimento sul commento di Mathias , non mi piace a dirlo con certezza. Se queste sono veramente due società diverse, probabilmente avete una foresta per each azienda, anche se collaborano strettamente. Collegandoli in una foresta AD potrebbero avere implicazioni indesiderabili legali o di conformità che potrebbero superare il vantaggio della gestione semplice di Active Directory. E poi c'è la questione di cosa succede quando / se queste due società vanno le loro vie separate. Chi "possiede" la foresta esistente, come si esegue il disimpegno adeguato, che paga per quel lavoro e che paga per creare una nuova foresta per l'azienda che ora non ne ha?

    I servizi federati esistono proprio per consentire l'interazione tra le foreste delle aziende e l'uso trasversale delle risorse in quelle foreste diverse, in modo che le organizzazioni separate non abbiano bisogno di condividere la stessa foresta per lavorare insieme. È un'installazione più complessa e più da gestire, ma se esistono davvero due aziende in gioco, è l'installazione che consiglio: due diverse foreste che utilizzano i servizi federati per collegarsi tra loro. Meno problemi, confusione e politica coinvolti quando each organizzazione possiede la propria foresta e si connette tra loro utilizzando servizi federati e non si preoccupa di cosa succede dopo la fine della collaborazione.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.