Wie erstellt man eine dedizierte Gesamtstruktur-Stammdomäne? Ich bin mit Active Directory vertraut und habe dcpromo.exe im „Erweiterten Modus“ verwendet, bin mir aber nicht sicher, wie man eine dedizierte Gesamtstruktur-Stammdomäne erstellt.
Während ich hier bin, stellt sich die Frage: Funktionieren Domänencontroller, die Mitglied einer Gesamtstruktur sind, auch dann noch, wenn ihre Gesamtstruktur offline geht?
Antwort1
Die erste Domäne, die Sie in einer Gesamtstruktur erstellen, ist automatisch die Stammdomäne der Gesamtstruktur. Sie müssen nichts Besonderes tun, sondern dem DCPromo-Assistenten lediglich mitteilen, dass es sich um eine neue Domäne in einer neuen Gesamtstruktur handelt, und das war’s.
Antwort2
Ich glaube, Sie sprechen von der Active Directory-Designstrategie „leerer Stamm“. Dabei erstellen Sie eine Gesamtstruktur-Stammdomäne, die letztlich weder Benutzer noch Ressourcen enthält und nur als übergeordnete Domäne für untergeordnete Domänen mit Ressourcen verwendet wird.
Dazu erstellen Sie einfach die neue Gesamtstruktur wie gewohnt für eine neue AD-Bereitstellung mit DCPROMO. Anschließend erstellen Sie Ihre untergeordneten Domänen auf Ihren untergeordneten Domänencontrollern. Bei der Erstellung der Stammdomäne der Gesamtstruktur müssen Sie nichts Besonderes tun.
"Empty Root" ist heute nur noch eine politische Struktur. Es hat sich gezeigt, dass "Empty Root" keine Sicherheit bietet. Ein "Domain Admin" in einer beliebigen untergeordneten Domäne kann sich relativ einfach selbst zum "Enterprise Admin" machen.
Wenn Sie fragen: „Funktionieren Domänencontroller, die Mitglied einer Gesamtstruktur sind, weiterhin, wenn ihre Gesamtstruktur offline geht?“, dann fragen Sie vermutlich: „Was passiert, wenn ich alle Stammdomänencontroller der Gesamtstruktur verliere?“
Das wäre schlecht. DukönnteSie können Probleme mit dem Kerberos-Vertrauenspfad umgehen, die bei der Verwendung von Vertrauensverknüpfungen auftreten würden. Im Allgemeinen möchten Sie jedoch nicht alle Domänencontroller in der Stammdomäne der Gesamtstruktur verlieren, da Sie sonst die gesamte Gesamtstruktur neu erstellen müssen.Tu das nicht (tm).
Bearbeiten:
Sie sollten möglichst immer eine einzige Domäne verwenden. Sofern Sie nicht mehrere Kennwortrichtlinien benötigen (und die granulare Kennwortrichtlinienfunktion in Windows 2008 Active Directory nicht verwenden können), sollten Sie sich möglichst an eine einzige Domäne halten.
Ein leerer Stamm macht heutzutage nicht wirklich viel Sinn, außer in politischen Situationen, in denen ein Teil einer Organisation nicht „akzeptieren“ kann, dass der Stamm des Gesamtstrukturverzeichnisses jemand anderem „gehört“. (Selbst dann ist das nur ein falsches politisches Argument, da die Strategie des leeren Stammverzeichnisses technisch gesehen keine Sicherheitsvorkehrungen hat.)
Multi-Domain-Bereitstellungen sind sinnvoll, wenn Sie mehrere Passwörter benötigen oder den Umfang der Replikation des gesamten Domänen-NC einschränken möchten (oder, wie ich annehme, wenn Sie eine SMTP-basierte AD-Replikation verwenden möchten). Wenn Sie diese Anforderungen nicht haben, brauchen Sie Multi-Domain wirklich nicht.
Wenn Sie wirklich eine Isolierung zwischen Teilen einer Organisation, Schutz für das AD-Schema/die AD-Konfiguration und eine streng eingeschränkte Delegation der Verwaltung zwischen verschiedenen Teilen der Organisation benötigen, dann wünschen Sie sich wahrscheinlich eine Infrastruktur mit mehreren Gesamtstrukturen (obwohl diese am komplexesten und am mühsamsten zu verwalten ist).