Child Domain vs Trust Relationship

7

Also hier ist das Szenario-

Wir sind dabei, die IT in einem Rechenzentrum an einem einzigen Standort zu zentralisieren. Ich habe derzeit 12 verschiedene Betreiberunternehmen, die eine gemeinsame Sicherheits- und Austauschfunktion benötigen. So wie es aussieht, handelt es sich bei allen um separate Einzeldomänen unterschiedlicher Ebenen. Es gibt ein unternehmensweites Buchhaltungssystem, das in AD integriert werden muss und derzeit in einer völlig separaten Domäne ausgeführt wird. Ich würde gerne sehen, dass Benutzer ihre eigenen AD-Anmeldeinformationen verwenden.

Hier ist meine Frage-

In dem Wissen, dass alle Active Directory-Domänen berührt werden müssen, um sie alle auf ein einheitliches Funktionsniveau zu bringen, und dass unabhängig von der jeweiligen Aufgabe erhebliche Arbeit zu leisten ist, welche Konfiguration am besten geeignet ist? Ich weiß, dass es zu jedem Punkt mehrere Punkte gibt, aber ich möchte sicherstellen, dass ich jetzt meine Basen abdecken kann, bevor ich einen Pfad wähle. Entscheide ich mich für eine einzelne Gesamtstruktur \ übergeordnete Domäne? Oder getrennte Domänen mithilfe von Vertrauensstellungen zwischen der Unternehmensdomäne und den operativen Unternehmen wie eine Speichen- und Hub-Konfiguration? Was sind die Vor- und Nachteile von jedem?

Vielen Dank-

Zusätzliche Details: Es ist eine gewisse Verwaltungsdelegation erforderlich. Es handelt sich eher um eine Franchise-Umgebung als um ein einzelnes Unternehmen. Es wird Verwaltungsmitarbeiter geben, die nur für ihr Unternehmen verantwortlich sind, und nicht mehr. Der Hardware- und Software-Overhead ist kein Problem. Jedes Unternehmen verwendet ohnehin andere Richtlinien, sodass der Richtlinienteil keinen wirklichen Vorteil oder Nachteil bietet.

Wenn sich die operativen Unternehmen über die USA verteilen, ändert dies überhaupt Ihre Empfehlungen?

active-directory 
NotDrowningYet
quelle
siehe meine Bearbeitung zu meiner Antwort
mfinni
1 - Stellen Sie sicher, dass Sie immer klar sind, wenn Sie zwischen Domänen und Gesamtstrukturen unterscheiden. Ich höre oft Leute sagen "Wir haben mehrere Domänen", wenn sie tatsächlich "Wir haben mehrere Wälder" meinen ... oder sie verwenden die Begriffe austauschbar. Der Unterschied macht einen großen Unterschied in der Antwort, die Sie erhalten.
SturdyErde
2 - In diesem Szenario können mehrere Gesamtstrukturen funktionieren. Aber es gibt ein großartiges Sprichwort über mehrere Wälder, das ungefähr so ​​lautet: "Nur weil du kannst - NICHT." :) Ich verwalte seit ein paar Jahren eine 5-Wald-Umgebung und wir planen jetzt, sie erneut zu konsolidieren. Es gab einige nette Vorteile und Erfahrungen mit der Umwelt, aber es bringt endlose Probleme mit sich, die ständig umgangen werden müssen.
SturdyErde
Noch ein paar Hinweise: Wenn Sie eine einzelne Gesamtstruktur mit mehreren Domänen haben, vertrauen sich alle von Natur aus gegenseitig. Für mehrere Gesamtstrukturen müssen Vertrauensstellungen manuell erstellt werden. Das Vorhandensein mehrerer Namen in einer Gesamtstruktur bedeutet nicht, dass alle einem Eltern / Kind-Modell folgen müssen. Ihr Domain-Design kann tief oder breit sein oder eine Kombination aus beiden. Wenn Sie die Option zum Freigeben von Exchange (und Lync, SharePoint usw.) für mehrere Gesamtstrukturen prüfen möchten, suchen Sie die Zeichenfolge "Exchange-Ressourcengesamtstruktur".
SturdyErde

Antworten:

7

Der stärkste Grund, nicht mit einer einzelnen Domain (und Gesamtstruktur) zu arbeiten, besteht darin, dass Sie in jeder Gesamtstruktur unbedingt separate Administratoren haben müssen. Das ist die Sicherheitsgrenze. Wenn die gleichen Leute den vollen Satz Schlüssel haben werden, dann machen Sie es ihnen einfach. Um es klar auszudrücken, ich spreche nicht von Delegation für bestimmte Aufgaben - dies ist die Gruppe von Personen, die Unternehmensadministratoren sein werden.

Dies ändert nicht viel an meinen Empfehlungen, da Sie die Dinge nach Bedarf delegieren können, wie oben erwähnt. Wenn ein Teil der Organisation lokale Administratoren hat, die in der Lage sein müssen, das ihrer Organisationseinheit zugewiesene Gruppenrichtlinienobjekt zu bearbeiten, können Sie dies als Beispiel angeben. Wenn sie jedoch die vollständige Kontrolle über ihren Teil der Domäne benötigen, bis zu dem Punkt, an dem sie Sie ausschließen können, benötigen Sie separate Gesamtstrukturen und haben möglicherweise Schwierigkeiten, den Austausch zu teilen. Da Sie also "Sicherheit und Austausch" teilen, scheint eine einzelne Domain immer noch der richtige Weg zu sein.

mfinni
quelle
Ich muss klarstellen: Domains gelten eigentlich nicht als echte Sicherheitsgrenze. Eine Gesamtstruktur ist eine Sicherheitsgrenze für Active Directory. Aus Ihrer Sicht kann eine Domain jedoch als Verwaltungsgrenze betrachtet werden, was @NotDrowningYet anscheinend benötigt.
SturdyErde
Ihr erster Punkt ist das, was ich mit "(und Wald)" gemeint habe, bevor ich sagte "das ist die Sicherheitsgrenze".
Mfinni
5

Wenn dies ein Zentralisierungsprojekt ist, würde ich persönlich eine Domäne verwenden und Organisationseinheiten verwenden, um Dinge zu trennen. Dies erspart die vollständige Redundanz für jede untergeordnete Domäne, erleichtert das Roaming und die Bewegung und reduziert die Konfiguration und Komplexität erheblich.

Es gibt fast keine Nachteile, wenn Sie Sites und Dienste richtig konfigurieren.

Dan
quelle
2

Die Eltern / Kind-Domänenstruktur ist ein Artefakt des 20. Jahrhunderts. An einem Punkt gab es eine Begründung, vielleicht war es beim Erwerb / Ausgliederung von Unternehmen sinnvoller, Geschäftseinheiten in ihrer eigenen Domäne zu trennen.

Wir haben so ziemlich das, eine übergeordnete Stammdomäne mit 13 untergeordneten Domänen. Alle diese Domänen haben Vertrauensstellungen, und wenn die Vertrauensstellungen unterbrochen werden, gilt dies auch für alles andere. Nach meiner Erfahrung sind diese Brüche normalerweise selbstverschuldet, aber die Auswirkungen sind sehr hoch. Oh, und sie können in zwei Richtungen brechen. Wenn Sie diesen Weg gehen, stellen Sie sicher, dass Sie wissen, wie Sie mit nltest die Vertrauensstellungen in allen Domänen in beiden Richtungen überprüfen, wenn Sie ein Problem haben.

Es gibt andere Implikationen. Alle diese Domänen verfügen über mehrere Partitionen, die in den globalen Katalog repliziert werden. Unser GC hat ungefähr 40+ Partitionen. Die Replikation ist komplexer und es gibt mehr davon zu brechen. Wie repadmin? Sie besser, wenn Sie mit separaten Domains gehen.

Ich würde keine Eltern / Kind-Domain-Strategie verfolgen, wenn dies nicht zwingend erforderlich wäre.

Eine andere Sache: Wenn die Domäne, in der sich die Buchhaltungsanwendung befindet, mit anderen Servern (z. B. Front-End-Webservern) kommunizieren muss und Sie den Identitätswechsel verwenden, müssen sich diese Server in derselben Domäne befinden. Wenn Sie eine flache Domäne haben, ist dies natürlich kein Problem, aber einige große, verteilte AD-Implementierungen werden dadurch gebrannt. Benutzerkonten können sich in einer beliebigen Domäne befinden, aber die Ressourcenserver wie Front-End-Webserver und Back-End-Datenbanken müssen sich bei Verwendung des Identitätswechsels in derselben Domäne befinden.

Greg Askew
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.