144 votos

Lo que es de Dominio de Active Directory Servicios y cómo funciona?

Este es un Canónica Pregunta acerca de Active Directory Domain Services (AD DS).

¿Qué es Active Directory? Qué hace y cómo funciona?

¿Cómo se Active Directory organizada: el Bosque, Hijo de Dominio, Árbol, Sitio o unidad organizativa


Me encuentro explicando algo de lo que supongo es de conocimiento común acerca casi a diario. Esta pregunta, esperamos, sirva como un canónica de preguntas y respuestas para la mayoría de los básicos de Active Directory preguntas. Si usted siente que usted puede mejorar la respuesta a esta pregunta, por favor, edite distancia.

20voto

MDMarra Puntos 81543

Nota: Esta respuesta se fusionó en esta cuestión a partir de una pregunta que le preguntó acerca de las diferencias entre los bosques, hijo de dominios, árboles, sitios y unidades Organizativas. Esto no fue escrito originalmente como una respuesta a esta pregunta específica.


Bosque

Desea crear un nuevo bosque cuando usted necesita un límite de seguridad. Por ejemplo, usted puede tener una red perimetral (DMZ) que desea administrar con AD, pero usted no desea que su ANUNCIO interno disponible en la red de perímetro por razones de seguridad. En este caso, se quiere crear un nuevo bosque para que la zona de seguridad. Usted también puede querer que esta separación si usted tiene varias entidades que no confiar el uno en el otro - por ejemplo, una empresa shell, que abarca a las empresas que operan de forma independiente. En este caso, usted quiere que cada entidad tiene su propio bosque.


Hijo De Dominio

Realmente, no es necesario más. Hay algunos buenos ejemplos de cuando usted desea un hijo de dominio. Un legado razón es debido a los diferentes requisitos de directiva de contraseña, pero esto ya no es válido, ya que los hay de Grano Fino de las Políticas de Contraseña disponible desde el Servidor de 2008. Usted realmente sólo necesita un niño de dominio si usted tiene áreas con una increíble baja conectividad de la red y desea reducir drásticamente el tráfico de replicación - un barco de crucero con tv vía satélite de conectividad WAN es un buen ejemplo. En este caso, de cada barco puede ser su propio hijo de dominio, así como a ser relativamente autónomo, mientras que siguen siendo capaces de aprovechar los beneficios de estar en el mismo bosque como en otros dominios de la misma empresa.


Árbol

Esta es una extraña bola. Nuevos árboles son utilizados cuando se desea mantener la administración de los beneficios de un bosque, pero tiene un dominio en un nuevo espacio de nombres DNS. Por ejemplo corp.example.com puede ser la root del bosque, pero que podría tener ad.mdmarra.com en el mismo bosque, el uso de un nuevo árbol. Las mismas reglas y recomendaciones para el niño los dominios de la aplica aquí a utilizarlos con moderación. Por lo general, no se necesita en la moderna Anuncios.


Sitio

Un sitio debe representar físicos o lógicos de los límites de su red. Por ejemplo, las sucursales. Los sitios se utilizan de forma inteligente seleccionar a los asociados de replicación para los controladores de dominio en las diferentes áreas. Sin la definición de los sitios, todos los controladores de dominio serán tratados como si estuvieran en la misma ubicación física y replicar en una topología de malla. En la práctica, la mayoría de las organizaciones están configurados en un hub-and-spoke, lógicamente, por lo que los sitios y servicios debe ser configurado para reflejar esto.

Otras aplicaciones también el uso de los Sitios y Servicios. DFS utiliza para el espacio de nombres de referencias y el asociado de replicación de selección. Exchange y Outlook utiliza para encontrar el más cercano de catálogo global para consulta. Su dominio de los equipos unidos a utilizar para localizar el más cercano "" DC(s) para autenticar contra. Sin esto, su replicación y tráfico de autenticación son como el Salvaje Oeste.


Unidad Organizativa

Estos deben ser creado de una manera que refleja la necesidad de su organización para la delegación de la autorización y aplicación de directiva de grupo. Muchas organizaciones tienen una OU por sitio, porque se aplican GPO de esa manera - esto es una tontería, porque se pueden aplicar GPO a un sitio de los Sitios y Servicios. Otras organizaciones independientes Ou por departamento o función. Esto tiene sentido para muchas personas, pero realmente OU diseño debe satisfacer sus necesidades y es bastante flexible. No hay "una manera" de hacerlo.

Una empresa multinacional puede tener unidades Organizativas de nivel superior de North America, Europe, Asia, South America, Africa , de modo que se puede delegar privilegios administrativos basados en el continente. Otras organizaciones pueden tener unidades Organizativas de nivel superior de Human Resources, Accounting, Sales, etc si que tiene más sentido para ellos. Otras organizaciones tienen un mínimo de necesidades de la política y el uso de un "plano" del diseño con sólo Employee Users y Employee Computers. Realmente no hay una respuesta correcta, es todo aquello que satisface las necesidades de su empresa.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: