确定所需的林数量
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
若要确定必须部署的林数,需要仔细确定并评估组织中每个组的隔离和自治要求,并将这些要求映射到相应的林设计模型。
确定要为组织部署的林数时,请考虑以下事项:
隔离要求限制了设计选择。 因此,如果确定隔离要求,请确保这些组确实需要数据隔离,并且数据自治不足以满足其需求。 确保组织中的各个组清楚地了解隔离和自治的概念。
对设计进行协商可能是一个漫长的过程。 各个组可能很难就可用资源的所有权和使用达成一致。 请确保留出足够的时间,让组织中的组进行足够的研究以确定其需求。 为设计决策设定明确的截止日期,并就既定的截止日期征得各方的共识。
确定要部署的林数涉及平衡成本与收益。 单林模型是最具成本效益的选择,需要的管理开销最少。 尽管组织中的某个组可能更喜欢自主服务运营,但对于组织来说,从集中且可信的信息技术 (IT) 组订阅服务交付可能更具成本效益。 这样就可以让该组负责数据管理,不会增加服务管理的成本。 平衡成本与收益可能需要执行发起人进行投入。
单个林是最容易管理的配置。 它允许在环境中进行最大程度的协作,因为:
单个林中的所有对象都列在全局目录中。 因此,不需要跨林同步。
不需要管理重复的基础结构。
不建议由两个独立的自主 IT 组织共同拥有单个林。 两个 IT 组的目标在未来可能会发生变化,以至于他们无法再接受共同控制。
不建议将服务管理外包给多个外部合作伙伴。 在不同国家或地区设有组的跨国组织可能会选择将服务管理外包给每个国家或地区的不同外部合作伙伴。 由于多个外部合作伙伴不能彼此隔离,一个合作伙伴的行为可能会影响另一个合作伙伴的服务,因此合作伙伴难以对其服务级别协议负责。
任何时候都应该只存在一个 Active Directory 域实例。 Microsoft 不支持从一个域克隆、拆分或复制域控制器以尝试建立同一域的第二个实例。 有关此限制的详细信息,请参阅以下部分。
重组限制
当一个公司收购另一个公司、业务部门或产品线时,收购公司可能还想从卖方那里收购相应的 IT 资产。 具体来说,买方可能想要收购部分或全部域控制器,这些域控制器托管与要收购的业务资产相对应的用户帐户、计算机帐户和安全组。 买方收购存储在卖方 Active Directory 林中的 IT 资产的唯一受支持方法如下:
收购林的唯一实例,包括卖家的整个林中的所有域控制器和目录数据。
将卖家的林或域所需的目录数据迁移到一个或多个买家的域。 此类迁移的目标可能是一个全新的林或者一个或多个已部署在买方林中的现有域。
存在此支持限制是因为:
在创建林期间,会为 Active Directory 林中的每个域分配一个独一无二的标识。 将域控制器从原始域复制到克隆的域会危及域和林的安全性。 对原始域和克隆域的威胁包括:
共享可用于获取资源访问权限的密码
有关特权用户帐户和组的见解
将 IP 地址映射到计算机名称
如果克隆域中的域控制器曾经与原始域中的域控制器建立网络连接,则添加、删除和修改目录信息
克隆的域共享一个通用的安全标识,因此无法在它们之间建立信任关系,即使已重命名一个或两个域。