6 votos

Cuándo se debe crear dominio adicional en el bosque?

Mi empresa es la apertura de un nuevo sitio en un país diferente. Vamos a ser la instalación de nuevos servidores de allí y tengo una pregunta que no se puede decidir. Debemos crear un nuevo dominio en el bosque o se debería simplemente utilizar el mismo dominio y poner en práctica un nuevo controlador de dominio, posiblemente y RODC?

Las dos empresas están separadas, pero colaboran estrechamente. También gestionamos para ambos, pero no puedo excluir que podría tener una de sus propias cuando crezcan. El acceso común a los recursos compartidos de red y puede utilizar los recursos ubicados en ambas empresas. Además, algunos de nuestros usuarios son a menudo viajando de una empresa a la otra.

Las ventajas que veo en un nuevo dominio están relacionados principalmente con una ordenada organización, una mejor gestión en el caso de un departamento dedicado al tiempo que conserva las ventajas de la utilización de los Gpo de el bosque. Me gustaría establecer un fideicomiso para permitir a los usuarios acceder a los datos en los distintos dominios.

Las únicas desventajas que veo que podría ser en la necesidad de añadir tanto los grupos de usuarios, en algunos casos, y, posiblemente, algún tipo de problemas con el software basado en el ANUNCIO si no se han establecido correctamente. Yo no tengo experiencia con esto, así que me gustaría escuchar su opinión al respecto y tal vez me ayude a averiguar donde las cuestiones que puedan surgir.

12voto

Evan Anderson Puntos 118832

La creación de otro dominio añade complejidad. En la medida en que son capaces de mantener un entorno de dominio único que va a limitar la complejidad. Me parece que las actividades administrativas son más fáciles en un entorno de dominio único.

La organización Visual ("una ordenada organización") podría ser llevado a cabo con otras características, como unidades organizativas (Ou) en Active Directory. Personalmente, yo no lo considera tal "orden" razón suficiente para crear un dominio de segundo.

Apenas alrededor de cualquier delegación de control de escenario en el que se puede visualizar en un entorno multi-dominio puede ser manejado en un único dominio por delegar el control en una unidad organizativa.

Desde un inicio de sesión de la eficiencia de la perspectiva que tiene sentido tener el Controlador de Dominio (DC) de los equipos en un lugar por lo que los dominios se utilizará en esa ubicación. Si usted va a tener los usuarios que viajan entre los lugares que se necesitan más DCs (uno para cada dominio, como mínimo) si usted tiene un entorno multi-dominio.

Entre bosques de Objetos de Directiva de Grupo (Gpo) tienen, en mi experiencia, algo escamosa. Usted necesitará un controlador de dominio desde el dominio en el GPO está alojado bien conectado a las máquinas que se aplican los Gpo de dominio. Que también puede causar la mayor necesidad de los países en desarrollo en un entorno multi-dominio con respecto a un único dominio.

Mi opinión es que un entorno multi-dominio sólo es necesario cuando se requieren múltiples de nivel de dominio de las políticas de contraseña (y no pueden hacer uso de grano fino de la directiva de contraseñas de un solo dominio por alguna razón técnica), o cuando el dominio tráfico de replicación sería tan extrema como para justificar el aislamiento para limitar el tráfico de replicación.

Editar:

Si usted realmente necesita la separación, legal o administrativo, a continuación, un Bosque independiente de la otra empresa es realmente la única manera de ir. Los dominios por separado en el mismo bosque no ofrecen ninguna separación práctica, aparte de la creación de particiones de la replicación del Directorio.

6voto

HopelessN00b Puntos 38607

Como tu pregunta es actualmente planteadas, a mí me parece que podría obtener el máximo de kilómetros de configuración de un Sitio nuevo en Active Directory como lo haría con un nuevo dominio. Te gustaría crear un nuevo controlador de dominio en la nueva ubicación física, pero en el mismo dominio y bosque, y la levantó para servir al nuevo sitio en cuestión (a través de los Sitios de Active Directory y Servicios de herramienta de gestión).

Por supuesto, sin una aclaración sobre Mathias' comentario, no me siento cómodo diciendo que con certeza. Si estos en realidad son dos empresas diferentes, probablemente, usted debe tener un bosque para cada empresa, incluso si ellos colaboran estrechamente. La unión en un bosque de AD podría haber indeseables legales o el cumplimiento de las implicaciones que puede contrarrestar la ventaja de la simple administración de Active Directory. Y luego está la cuestión de qué ocurre cuando/si estas dos empresas van sus caminos separados. Quién es el "dueño" del bosque existente, ¿cómo realizar la correcta retirada, el que paga por ese trabajo, y el que paga para configurar un nuevo bosque para la empresa que ahora no tiene uno?

Federado de servicios, existen precisamente para permitir la interacción entre las empresas de los bosques y de la cruz-el uso de los recursos en los diferentes tipos de bosques, por lo que organizaciones independientes no necesitan compartir el mismo bosque a trabajar juntos. Una instalación complicada, y más que gestionar, pero si realmente hay dos compañías en juego aquí, es la configuración que yo recomendaría - dos por separado en los bosques, utilizando federado de servicios para conectar el uno al otro. Menos complicaciones, el desorden y la política involucrados cuando cada organización posee su propio bosque, y se conectan entre sí mediante federado de servicios, y no se preocupa por lo que sucede después de la colaboración de los extremos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: