AD에 하위 도메인이 필요합니까?

아니요, 거의 확실하지 않습니다. 한 명의 관리자가 모든 것에 효과적으로 액세스해야 한다는 정치적 압력이 없다면 하나의 도메인을 고수하세요. 사용되는 동일한 DNS 네임스페이스에 관한 주장이 있는데, 이는 다중 브랜드 다국적 기업에 적합하지 않을 수 있지만 이는 문제가 되지 않는 것 같습니다. 다시 말하지만, 이것은 모두 볼로틱스입니다. 확장성 측면에서 AD는 이제 매우 잘 확장됩니다. 복제도 아주 훌륭하게 제어할 수 있습니다. Windows 2000 Server 이후로 상황이 발전했습니다.

질문을 뒤집어 보면 여러 도메인은 운영 오버헤드(일상적인 사용자/그룹 관리, 감사, AD 백업 보안, 복구 증명 등)를 증가시키지만 도메인 전체에서 구성 불일치가 발생할 가능성도 있습니다.

단일 도메인... 앞으로 나아가는 길.

DC 배치 측면에서 Microsoft의 사이트당 DC 2개 모델에 너무 얽매이지 마십시오. WAN 링크, 특히 사이트의 삼각측량을 살펴보세요. 중복된 링크가 있고 해당 링크의 MTBF가 높은 경우 불필요하게 과도한 엔지니어링을 수행하지 마십시오. 나는 당신의 학교가 얼마나 크고/자율적인지 모릅니다. 그러나 링크의 대기 시간이 길면 현장 DC가 필요할 수도 있습니다. 이 전체 주장은 WAN이 제공하는 서비스 수준으로 귀결됩니다. 필요한 경우 언제든지 DC를 추가할 수 있습니다. 그것들을 제거하는 것은 그리 간단하지 않습니다(경험 대 이론).

또한 서버 코어에서 완벽하게 작동하는 RODC(읽기 전용 도메인 컨트롤러)도 잊지 마세요. 학교가 상당히 자율적인 것처럼 들리므로 이는 관련이 없을 수도 있지만, 예를 들어 자체 사용자 관리를 수행하지 않거나 수행할 수 없는 소규모 학교가 있는 경우 RODC는 환상적일 것입니다. .

요약하자면, 볼로틱스를 제대로 완성한 다음 WAN 설문조사를 정리하세요.

일반적으로 말해서 항상 가능한 한 평면적인 도메인 구조를 갖도록 노력해야 하며 단일 도메인이 바람직합니다. Active Directory 시스템을 이러한 방식으로 "설계"하는 기술적인 이유가 거의 없기 때문에 도메인으로 분할하는 데에는 명확한 비즈니스 동인이 있어야 합니다. 여러 도메인으로 인해 문제가 발생할 때 어려울 수 있는 복잡성이 발생합니다. 도메인에는 깨질 수 있는 신뢰가 있으며, 이로 인해 거의 모든 것에 큰 피해를 입힐 수 있습니다.

결정 기준 중 일부는 정치에 의해 좌우될 수 있습니다. 보안 경계에 대한 제어가 필요한 엔터티가 있을 수 있습니다. 이를 수행하는 한 가지 방법은 그들에게 자신의 도메인을 제공하는 것입니다. 한 가지 예는 미국 정부입니다. 부서가 자체 숲을 갖고 구성 기관이 자체 도메인을 갖는 것은 드문 일이 아닙니다. 정치를 제외하면 이에 대한 기술적 근거가 항상 설득력 있는 것은 아닙니다. Windows 2008 이전에는 암호 정책과 같은 일부 항목에 자체 도메인이 필요할 수 있습니다. 기술적 동인 중 하나는 다른 도메인이 단일 도메인에 통합된 경우 현재 사용할 수 없는 Active Directory 기능 도메인 수준을 사용하려고 한다는 것일 수 있습니다.

일부 사람들은 일부 유형의 사업 단위가 별도의 영역에 대한 후보라고 생각합니다. 예를 들어, 결국 별도의 회사로 분리하는 전략을 갖고 있는 전체 지분을 소유한 자회사 등이 있습니다. 또는 엄격한 규제 또는 재무 통제를 받는 사업 단위가 있거나 사업 단위가 비영리 재단인 경우와 같이 규제 요구 사항에 우려 사항 분리가 지정된 경우.