Моя компания открывает новый сайт в другой стране. Мы будем устанавливать там новые серверы, и у меня есть вопрос, на который я не могу ответить. Должны ли мы создать новый домен в лесу или просто использовать тот же домен и реализовать новый контроллер домена, возможно, и RODC?
Две компании разделены, но тесно сотрудничают. Также мы управляем ИТ для них обоих, но я не могу исключить, что у них может быть собственная ИТ, когда они вырастут. Мы получаем доступ к общим сетевым ресурсам и можем использовать ресурсы, расположенные в обеих компаниях. Кроме того, некоторые из наших пользователей часто путешествуют из одной компании в другую.
Преимущества, которые я вижу в новом домене, в основном связаны с более аккуратной организацией, лучшим управлением в случае выделенного отдела при сохранении преимуществ использования объектов групповой политики из леса. Я бы установил доверие, чтобы пользователи могли получать доступ к данным в разных доменах.
Единственные недостатки, которые я вижу, могут заключаться в необходимости добавлять в некоторых случаях обе группы пользователей и, возможно, в некоторых проблемах с программным обеспечением на основе AD, если оно не настроено должным образом. У меня нет опыта в этом, поэтому я хотел бы услышать ваше мнение по этому поводу и, возможно, помочь мне выяснить, где могут возникнуть проблемы.
Создание еще одного домена добавляет сложности. Если вы сможете поддерживать среду с одним доменом, вы ограничите сложность. Я считаю, что административная деятельность проще в среде с одним доменом.
Визуальная организация («более аккуратная организация») может быть достигнута с помощью других функций, таких как организационные единицы (OU) в Active Directory. Лично я бы не стал считать такую «аккуратность» достаточной причиной для создания второго домена.
Практически любой сценарий делегирования управления, который вы можете себе представить в многодоменной среде, можно реализовать в одном домене, делегируя управление в OU.
С точки зрения эффективности входа в систему имеет смысл иметь компьютеры контроллера домена (DC) в месте для любых доменов, которые будут использоваться в этом месте. Если вы хотите, чтобы пользователи путешествовали между местоположениями, вам потребуется больше контроллеров домена (как минимум по одному для каждого домена), если у вас многодоменная среда.
По моему опыту, объекты групповой политики между лесами (GPO) были несколько нестабильными. Вам понадобится контроллер домена из домена, в котором размещен объект групповой политики, с хорошим подключением к машинам, которые применяют объекты групповой политики из этого домена. Это также может привести к необходимости большего количества контроллеров домена в многодоменной среде по сравнению с одним доменом.
Я считаю, что многодоменная среда необходима только тогда, когда вам требуется несколько политик паролей на уровне домена (и вы не можете использовать детализированную политику паролей в пределах одного домена по какой-то технической причине) или когда трафик репликации домена будет настолько экстремальным, что потребует изоляции для ограничения трафика репликации.
Редактировать:
Если вам действительно нужно разделение, юридически или организационно, то отдельный лес для другой компании - действительно единственный выход. Отдельные домены в одном лесу не предлагают практического разделения, за исключением разделения репликации Справочника.
Поскольку ваш вопрос в настоящее время задан, мне кажется, что вы могли бы получить столько же пользы от настройки нового сайта в Active Directory, как и от нового домена. Вы должны создать новый контроллер домена в новом физическом местоположении, но в том же домене и лесу, и настроить его для обслуживания нового рассматриваемого сайта (с помощью инструмента управления сайтами и службами Active Directory).
Конечно без пояснение к комментарию Матиаса, Мне неудобно говорить это с какой-либо уверенностью. Если это действительно две разные компании, у вас, вероятно, должен быть лес для каждой компании, даже если они тесно сотрудничают. Привязка их к одному лесу AD может иметь нежелательные юридические последствия или последствия, которые могут перевесить преимущество простого управления Active Directory. И тогда возникает вопрос, что произойдет, когда / если эти две компании пойдут разными путями. Кто «владеет» существующим лесом, как вы выполняете надлежащее разъединение, кто платит за эту работу и кто платит за создание нового леса для компании, у которой сейчас его нет?
Федеративные службы существуют именно для того, чтобы обеспечивать взаимодействие между лесами компаний и перекрестное использование ресурсов в этих разных лесах, так что отдельным организациям не нужно использовать один и тот же лес для совместной работы. Это более сложная настройка и требует большего в управлении, но если здесь действительно участвуют две компании, я бы рекомендовал эту настройку - два отдельных леса, использующих федеративные службы для подключения друг к другу. Меньше хлопот, беспорядка и политики, когда каждая организация владеет собственным лесом и подключается друг к другу с помощью федеративных служб, и не нужно беспокоиться о том, что произойдет после завершения сотрудничества.
Похоже, большинство ваших вопросов должны быть адресованы бизнесу, а не техническим. Во-первых, если бизнес намеревается вырастить вторую компанию, а затем отделиться, когда они вырастут, в этом сценарии может быть полезен отдельный домен, чтобы помочь им разделиться.
Если у вас нет жестких требований к безопасности, никогда не используйте RODC, это просто дополнительные административные издержки, и они не стоят беспокойства почти во всех сценариях. Отлично в теории, мучительно на практике. По крайней мере, пробуйтесь и поймите, во что вы ввязываетесь, прежде чем делать это.
Если компании намерены оставаться вместе, это будет зависеть от того, насколько разделенным будет ИТ-администрирование. Администратор домена часто используется, часто используется чрезмерно, но также часто необходим для ключевых сотрудников ИТ-организации. Единый домен означает, что эта мощная группа пользователей обеспечит полный доступ в этом домене к большому количеству административных консолей и будет охватывать обе части компании. Изменение тех значений по умолчанию, где это разрешено, может быть даже более беспорядочным, чем дополнительные усилия администратора по управлению двумя дочерними доменами. Поэтому, если вы считаете, что будет требование о разделении административной ответственности, и этот уровень контроля (для каждой компании), вероятно, станет жестким требованием, тогда отдельные домены - лучший вариант. Если этого никогда не произойдет и 2 ИТ-организации могут работать в гармонии (здесь ключ к успеху зависит от хорошей коммуникации и совместной работы), или только 1 ИТ-организация может управлять / совместно использовать 2 компании, тогда придерживайтесь одной.
В настоящее время я помогаю компании с 12 отдельными доменами, региональной ИТ-поддержкой и более 60000 пользователей снова объединиться в один домен, потому что у них нет необходимости оставаться отдельными, а это болезненный процесс. Таким образом, первые решения должны быть правильными, и хотя вы не всегда можете спланировать то, что бизнес может сделать через 10 или даже 5 лет, задавайте вопросы на всех уровнях сейчас, документируйте их ответы и хорошо подготовьтесь.