我们有多个编程团队,可以构建经常使用Active Directory的解决方案.我们尝试了不同的方法,从他们自己的域控制器(在同一子网中)或我们的生产AD中的其他OU开始,团队可以控制这些OU,并且可以在该OU中创建/删除帐户.
我们想到了可能的4个解决方案
>在生产环境中设置单独的OU.
>为我们的contoso.com域创建子域名,例如test.contoso.com,something.contoso.com,并将控制委托给团队(我们是否需要额外的DC或者我们已经足够持有这两个DC?
>设置对我们的主域有信任的其他测试域控制器,所有团队都可以随意使用测试域控制器.
>为每个团队/项目设置单个域控制器.
我们正在考虑所需的资源量,安全性(例如,具有多个密码的多个域控制器可能会导致用户使用更简单的密码)以及此方案的总体最佳实践.
更新:
在90%的情况下,它将是SharePoint,BizTalk,CRM等的身份验证.在其他情况下,它可以是SPN,kerberos身份验证和使用证书颁发机构的测试.
>如果您只是测试帐户创建/删除,那就没问题,正如您在问题中所说的那样.只要这是您的产品的全部或大部分内容.>是 – 每个域至少需要一个DC – 如果一个失败,则两个更好.即使是测试环境.这让他们围绕他们想要的一切.>那是个糟糕的主意.它们连接到您的域中的DC并不重要 – AD是一个多主数据库,因此在一个地方进行的更改将在任何地方进行复制.您还没有获得任何保护 – 如果您让他们在任何地方添加/删除帐户,他们可能会意外删除所有帐户或在您的生产网络上执行其他操作.恢复网络后的第一个任务是粉红色的暴风雪,可能是你的系统管理员,而不是开发团队.>在当今易于虚拟化的时代,您可能最好为每个人制作至少一个测试域(不会信任/来自prod域),并根据您的公司和网络布局,为每个人制作额外的测试域根据需要进行交互,或者让每个开发人员在自己的计算机上或其多维数据集中的第二个桌面上运行VM(或更多).那里还有很多其他的建筑选择;取决于您的预算和需求.