¿Cómo se crea un dominio raíz de bosque dedicado? Estoy familiarizado con Active Directory y he usado dcpromo.exe en 'Modo avanzado' pero no estoy seguro de cómo crear un dominio raíz de bosque dedicado.
Mientras esté aquí, ¿los controladores de dominio que son miembros de un bosque seguirán funcionando si su bosque se desconecta?
Respuesta1
El primer dominio que creas en un bosque es automáticamente el dominio raíz del bosque, no tienes que hacer nada especial, solo decirle al asistente de DCPromo que es un dominio nuevo en un bosque nuevo y listo.
Respuesta2
Creo que estás hablando de la estrategia de diseño de Active Directory de "raíz vacía". Aquí es donde se crea un dominio raíz de bosque que, en última instancia, no tiene usuarios ni recursos y solo se usa como padre para dominios secundarios que contienen recursos.
Para hacer esto, simplemente cree el nuevo bosque como lo haría normalmente para una nueva implementación de AD usando DCPROMO. Luego, crea sus dominios secundarios en sus DC secundarios. No hay nada especial que hacer durante la creación del dominio raíz del bosque.
La "raíz vacía" hoy es sólo una estructura política. Se ha demostrado que la "raíz vacía" no proporciona seguridad. Un "Administrador de dominio" en cualquier dominio secundario puede convertirse en un "Administrador empresarial" con bastante facilidad.
Cuando pregunta "¿Mientras esté aquí, los controladores de dominio que son miembros de un bosque seguirán funcionando si su bosque se desconecta?", creo que se pregunta "¿Qué sucede si pierdo todos los controladores de dominio raíz del bosque? "
Eso sería malo. Túpodríapodrá solucionar los problemas de ruta de confianza de Kerberos que se producirían al utilizar confianzas de acceso directo, pero en general no desea perder todos los controladores de dominio en el dominio raíz del bosque o está pensando en reconstruir todo el bosque.No hagas eso (tm).
Editar:
Siempre debes intentar utilizar un único dominio siempre que sea posible. A menos que necesite múltiples políticas de contraseña (y no pueda usar la funcionalidad de política de contraseña granular en Windows 2008 Active Directory), intente ceñirse a un solo dominio.
La raíz vacía realmente no tiene mucho sentido hoy en día, excepto en situaciones políticas donde alguna parte de una organización no puede "aceptar" que la raíz del bosque pueda ser "propiedad" de otra persona. (Aun así, eso es sólo un argumento político falso porque, técnicamente, la estrategia de raíz vacía no tiene "dientes" de seguridad).
Las implementaciones multidominio son válidas cuando necesita tener varias contraseñas o desea limitar el alcance de la replicación del dominio completo NC (o, supongo, si desea utilizar la replicación AD basada en SMTP). Si no tiene esas necesidades, realmente no necesita un dominio múltiple.
Si realmente necesita aislamiento entre partes de una organización, protección para el esquema/configuración de AD y una delegación de administración estrictamente restringida entre diferentes partes de la organización, entonces probablemente desee una infraestructura de bosques múltiples (aunque esta es la opción más compleja y tediosa). tipo a administrar).