超级会员免费看
Active Directory域服务:域设计全解析
1. 域设计基础要点
在进行域设计时,有几个关键的基础特性需要了解。Windows Server 2003采用Kerberos信任,而非NTLMv2跨林信任,这有助于实现单点登录。当用户登录时,登录时间戳会作为快速同步的复制属性进行更新,该属性会在用户认证的域控制器中更新,并作为紧急更新复制到其他所有域控制器。
此外,通用组、组嵌套、将分发组切换为安全组(反之亦然)以及将安全标识符(SID)历史作为用户对象的属性等特性,与Windows 2000的本机模式相同。其中,SID历史在迁移过程中非常重要,它允许在迁移时保留NT 4或Windows 2000的SID,确保对未迁移的资源和对象的认证仍然有效。
2. 域设计准则
行政控制是域设计的首要准则。森林是AD DS中的安全边界,而域则是自主管理边界。域管理员可以控制本域内的资源,但森林根高级组“企业管理员”也可以对这些资源进行控制。
在规划多个域之前,需要考虑其影响。通常建议从简单的单森林、单域开始设计,然后根据实际需求逐步增加复杂度。在设计过程中,要充分考虑其他因素对域大小的限制,例如网络带宽。如果网络连接良好且带宽充足,单个域可能就足够;但如果存在广域网连接且带宽有限,可能需要划分多个域以减少复制流量。
3. 域边界
域是AD DS的管理边界,但由于“企业管理员”组的存在,管理员无法完全隔离地控制其域。在复制方面,架构和配置命名上下文会在整个森林中复制,应用模式分区也可以在森林中复制,但域命名上下文仅在单个域内的域控制器之间复制。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
