超级会员免费看
深入解析 Windows Server 2008 Active Directory 多域模型设计
1. 单域设计与多域模型基础
在 Active Directory 域服务(AD DS)中,为了控制复制频率,会创建多个 AD DS 站点。每个站点对应一个独立的地理区域,形成类似图 5.4 所示的站点结构。这种设计有助于调节复制流量,减轻站点间广域网(WAN)链路的负载。
单域设计对于许多组织来说是理想的选择,因为如今可以通过组织单位(OUs)和组策略对象(GPO)来实现管理委派,通过 AD 站点来调节复制。这使得组织使用多域的必要性降低。
然而,出于各种原因,组织可能需要在其环境中添加多个域,同时保留单森林的固有功能。在 AD DS 中,子域和域之间默认存在双向可传递信任,但这并不意味着其他域的成员会自动获得资源访问权限,用户的权限需要通过组来明确定义。
2. 何时添加额外域
在进行 Windows 2008 AD DS 设计时,建议先从单域开始,仅在绝对必要时再添加域。以下情况可能需要在现有域结构中添加子域:
- 分散管理 :如果组织的不同分支通常自行管理其 IT 结构,且没有未来整合为集中式模型的计划,那么多个相互连接的域可能是理想的选择。每个域可作为大多数活动的安全边界,但这种方法也会暴露多域环境的一些局限性。因此,在部署 AD DS 之前,最好尝试集中管理以获得更多优势。
- 地理限制 :如果公司不同部分之间存在极慢或不可靠的链路,或者地理距离很远,将用户群体划分为不同的域可能是明智的。这有助于限制域之间的复制活动,并便于在不同时区的
订阅专栏 解锁全文
扫一扫
7
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
