Как создать корневой домен леса без привязки? Я знаком с Active Directory и использовал dcpromo.exe в «Расширенном режиме», но не знаю, как создать корневой домен леса без привязки?
Пока я здесь, будут ли контроллеры домена, являющиеся членами леса, работать, если их лес будет отключен?
Я думаю, вы говорите о стратегии проектирования Active Directory с «пустым корнем». Здесь вы создаете корневой домен леса, который, в конечном счете, не имеет в себе пользователей или ресурсов и используется только как родительский для дочерних доменов, содержащих ресурсы.
Для этого вы просто создаете новый лес, как обычно при развертывании нового AD с помощью DCPROMO. Затем вы создаете дочерние домены на дочерних контроллерах домена. Во время создания корневого домена леса вы ничего особенного не делаете.
«Пустой корень» - это сегодня только политическая конструкция. Было показано, что «пустой корень» не обеспечивает безопасности. «Администратор домена» в любом дочернем домене может довольно легко превратиться в «администратора предприятия».
Когда вы спрашиваете: «Пока я здесь, будут ли контроллеры домена, входящие в лес, по-прежнему работать, если их лес будет отключен?», Я думаю, вы спросите: «Что произойдет, если я потеряю все контроллеры корневого домена леса? "
Это было бы плохо. Вы мощь иметь возможность спроектировать проблемы с путями доверия Kerberos, которые могут возникнуть при использовании коротких доверительных отношений, но в целом вы не хотите терять все контроллеры домена в корневом домене леса или хотите перестроить весь лес. Не делай этого (тм).
Редактировать:
По возможности всегда следует стараться использовать один домен. Если у вас нет необходимости в нескольких политиках паролей (и вы не можете использовать функции детальной политики паролей в Windows 2008 Active Directory), старайтесь придерживаться одного домена.
Пустой корень сегодня не имеет особого смысла, за исключением политических ситуаций, когда какая-то часть организации не может «принять», что корень леса может «принадлежать» кому-то другому. (Даже в этом случае это просто фальшивый политический аргумент, потому что технически стратегия пустого корня не имеет защитных «зубов».)
Многодоменные развертывания допустимы, когда вам нужно иметь несколько паролей или вы хотите ограничить объем репликации полного NC домена (или, я полагаю, если вы хотите использовать репликацию AD на основе SMTP). Если у вас нет этих потребностей, вам действительно не нужна мультидоменность.
Если вам действительно нужна изоляция между частями организации, защита схемы / конфигурации AD и жестко ограниченное делегирование администрирования между различными частями организации, тогда вам, вероятно, понадобится инфраструктура с несколькими лесами (хотя это наиболее сложный и утомительный тип для администрирования).
Первый домен, который вы создаете в лесу, автоматически становится корневым доменом леса, вам не нужно делать ничего особенного, просто сообщите мастеру DCPromo, что это новый домен в новом лесу, и все.