正如问题所述,在我的组织中使每个有能力的
Windows 2003或2008 Server成为域的域控制器有什么缺点?它只是矫枉过正吗?许多第三方应用程序会爆炸吗?还有别的我想不到的东西?
有什么好处吗?
>域控制器没有本地帐户.因此,必须重新配置在这些计算机上运行的所有内容才能使用域帐户.
>永远不应将域控制器创建快照或恢复为任何格式的先前映像,否则您将遇到USN回滚方案.这意味着如果您运行任何类型的映像解决方案或虚拟化,您将失去快照功能的使用.
>域控制器的任何本地管理员都是域管理员.
>网络和复制流量将显着增加.
>位于由交换机ACL或防火墙分隔的网段中的服务器将需要许多其他访问规则,以支持足够的复制流量.
> AD数据库中的损坏几率增加
>你违反了一般安全 principle of least priveledge.
>将来您希望升级域功能级别时,必须将每台服务器升级到适当的版本,而不仅仅是专用域控制器.
>您域中可利用的表面区域将增加数量级,因为任何这些服务器上的任何应用程序都将成为您的域基础结构的潜在攻击媒介(例如,sql漏洞可能随后导致您的整个域遭到入侵)
>某些服务在域控制器(例如终端服务)上不起作用或强烈阻止.
原文链接:https://www.f2er.com/windows/368162.html>永远不应将域控制器创建快照或恢复为任何格式的先前映像,否则您将遇到USN回滚方案.这意味着如果您运行任何类型的映像解决方案或虚拟化,您将失去快照功能的使用.
>域控制器的任何本地管理员都是域管理员.
>网络和复制流量将显着增加.
>位于由交换机ACL或防火墙分隔的网段中的服务器将需要许多其他访问规则,以支持足够的复制流量.
> AD数据库中的损坏几率增加
>你违反了一般安全 principle of least priveledge.
>将来您希望升级域功能级别时,必须将每台服务器升级到适当的版本,而不仅仅是专用域控制器.
>您域中可利用的表面区域将增加数量级,因为任何这些服务器上的任何应用程序都将成为您的域基础结构的潜在攻击媒介(例如,sql漏洞可能随后导致您的整个域遭到入侵)
>某些服务在域控制器(例如终端服务)上不起作用或强烈阻止.
我可以给你的最佳建议是尽可能将域控制器作为非常离散的实体运行,即不将任何服务加载到对域控制器操作不重要的域控制器上.出于实际/成本原因,这通常被非常小的商店,尤其是Small Business Server所忽视,但是一旦你超越了它,你理想地想要转向DC只是DC的点,你只能运行尽可能多的DC需要足够的复制和容错能力.