我的公司正在另一个国家开设一个新网站.我们将在那里安装新的服务器,我有一个我无法决定的问题.我们应该在林中创建一个新域,还是应该使用相同的域并实现一个新的域控制器,可能还有RODC?
这两家公司是分开的,但紧密合作.我们也为这两者管理IT,但我不能排除他们长大后可能拥有自己的IT.我们访问常见的网络共享,并可能使用两家公司的资源.此外,我们的一些用户经常从一家公司旅行到另一家公司.
我在新域中看到的优势主要与更整洁的组织有关,在专用部门的情况下更好地管理,同时仍保留使用来自森林的GPO的优势.我建立了一个信任,让用户访问不同域中的数据.
我看到的唯一缺点可能是在某些情况下必须添加两个用户组,如果没有正确设置,可能会出现基于AD的软件的某些问题.我没有这方面的经验,所以我想听听你对此的看法,也许可以帮助我弄清问题可能出现的地方.
创建另一个域会增加复杂性如果您能够维护单个域环境,则会限制复杂性.我发现在单个域环境中管理活动更容易.
可以使用其他功能(如Active Directory中的组织单位(OU))完成可视组织(“更整洁的组织”).就个人而言,我不会认为这种“整洁”的理由足以创建第二个域名.
几乎可以通过在OU上委托控制在单个域中处理您可以在多域环境中设想的任何控制方案委派.
从登录效率的角度来看,将域控制器(DC)计算机放置在该位置将使用的任何域的位置是有意义的.如果您要让用户在不同位置之间旅行,那么如果您拥有多域环境,则需要更多DC(每个域至少一个).
根据我的经验,跨林组策略对象(GPO)有点不稳定.您将需要来自托管GPO的域中的DC与从该域应用GPO的计算机良好连接.与单个域相比,这还可能导致在多域环境中需要更多DC.
我的观点是,只有当您需要多个域级密码策略(并且由于某些技术原因而无法在单个域中使用细粒度密码策略)或者域复制流量时,才需要多域环境将是如此极端,以保证隔离限制复制流量.
编辑:
如果你确实需要在法律上或组织上进行分离,那么另一家公司的另一个森林真的是唯一的出路.除了对目录的复制进行分区之外,同一林中的单独域不提供实际的分离.