非アイデンティティ フォレスト ルート ドメインを作成するにはどうすればよいでしょうか? Active Directory には精通しており、dcpromo.exe を「詳細モード」で使用したことがありますが、非アイデンティティ フォレスト ルート ドメインの作成方法がわかりません。
ここで、フォレストがオフラインになった場合でも、フォレストのメンバーであるドメイン コントローラーは引き続き機能しますか?
答え1
フォレスト内に作成する最初のドメインは自動的にフォレスト ルート ドメインになります。特別な操作は必要ありません。DCPromo ウィザードに、新しいフォレスト内の新しいドメインであることを伝えるだけで済みます。
答え2
「空のルート」Active Directory 設計戦略についてお話しされていると思います。これは、最終的にユーザーやリソースが含まれず、リソースを含む子ドメインの親としてのみ使用されるフォレスト ルート ドメインを作成する方法です。
これを行うには、DCPROMO を使用して新しい AD 展開で通常行うように、新しいフォレストを作成します。次に、子 DC に子ドメインを作成します。フォレスト ルート ドメインの作成中に特別な操作を行う必要はありません。
「空のルート」は、現在では単なる政治的な構造です。「空のルート」ではセキュリティが提供されないことが証明されています。どの子ドメインの「ドメイン管理者」も、かなり簡単に「エンタープライズ管理者」になることができます。
「フォレストがオフラインになった場合、フォレストのメンバーであるドメイン コントローラーは引き続き動作しますか?」と質問する場合、おそらく「フォレストのルート ドメイン コントローラーをすべて失ったらどうなるか?」と質問しているのだと思います。
それはまずい。かもしれないショートカット信頼を使用すると発生する Kerberos 信頼パスの問題を回避できますが、一般的には、フォレスト ルート ドメイン内のすべてのドメイン コントローラーを失うことは望ましくありません。そうしないと、フォレスト全体の再構築が必要になります。そんなことしないで。
編集:
可能な限り、常に単一のドメインを使用するようにしてください。複数のパスワード ポリシーが必要な場合を除き (Windows 2008 Active Directory の詳細なパスワード ポリシー機能を使用できない場合を除き)、単一のドメインを使用するようにしてください。
空のルートは、組織の一部がフォレスト ルートが他の誰かによって「所有」されている可能性があることを「受け入れる」ことができない政治的な状況を除いて、今日ではあまり意味がありません。(その場合でも、技術的には空のルート戦略にはセキュリティの「歯止め」がないため、それは単なる偽の政治的議論です。)
マルチドメイン展開は、複数のパスワードが必要な場合や、完全なドメイン NC のレプリケーションの範囲を制限したい場合 (または、SMTP ベースの AD レプリケーションを使用したい場合) に有効です。これらのニーズがない場合は、マルチドメインは必要ありません。
組織内の各部間の分離、AD スキーマ/構成の保護、および組織内のさまざまな部署間で厳密に制約された管理の委任が本当に必要な場合は、マルチフォレスト インフラストラクチャが必要になる可能性があります (ただし、これは管理が最も複雑で面倒なタイプです)。