Я много читал, пытаясь понять, зачем мне устанавливать архитектуру «несколько доменов - один лес», но я не нашел для этого никаких веских причин. Я пришел к выводу, что лучше использовать «один домен и делегирование» или «несколько доменов с доверительными отношениями».
Для меня важна одна цитата:
"Поскольку домен не является границей безопасности, администратор злонамеренной службы, например член группы администраторов домена, может использовать нестандартные инструменты и процедуры для получения полного доступа к любому домену в лесу или к любому компьютеру в лес. Например, администраторы служб в некорневом домене могут стать членами группы Enterprise Admins или Schema Admins. "(Источник)
Есть ли кто-нибудь, кто мог бы придумать сценарий, в котором вы бы использовали один лес с несколькими доменами?
Спасибо
Короткий ответ на ваш вопрос - нет. Обычно нет веских причин для использования многодоменных лесов. Старое руководство, которое практически не изменилось, заключалось в обеспечении автономности и / или контроля репликации.
Эта «автономия» включала отдельные политики паролей. Если организации требовалось несколько политик паролей, единственный способ добиться этого - использовать несколько доменов. Windows Server 2008 решила эту проблему с помощью детальных политик паролей.
Другой, репликация, все еще может быть смягчающим фактором, но улучшения в топологиях WAN и репликации AD действительно устранили и этот аргумент.
Что касается резервного копирования / восстановления или аварийного восстановления, то многодоменный лес или лес с пустым корневым доменом не упрощают резервное копирование и восстановление. Фактически, в сценарии восстановления леса это усложняет задачу.
В данный момент я использую двухдоменный лес, чтобы перенести предприятие с сильно сломанного и неправильно настроенного домена на тот, который я правильно настроил.
Предотвращение простоев при миграции домена, безусловно, является очень важным вариантом использования для многодоменных лесов.
Конечно, если у вас нет причины, по которой он вам нужен, оставайтесь с одним лесом домена. Если / когда вам нужно несколько доменов, вы будете знать, и нет причин усложнять лес AD, особенно если это ничего не дает.