Como você cria um domínio raiz de floresta deidcado? Estou familiarizado com o Active Directory e usei dcpromo.exe no 'Modo Avançado', mas não tenho certeza de como criar um domínio raiz de floresta deidcado.
Enquanto estou aqui, os controladores de domínio que são membros de uma floresta ainda funcionarão se a floresta ficar offline?
Responder1
O primeiro domínio que você cria em uma floresta é automaticamente o domínio raiz da floresta, você não precisa fazer nada de especial, apenas diga ao assistente DCPromo que é um novo domínio em uma nova floresta e pronto.
Responder2
Acho que você está falando sobre a estratégia de design de "raiz vazia" do Active Directory. É aqui que você cria um domínio raiz de floresta que, em última análise, não possui usuários ou recursos e é usado apenas como pai para domínios filhos que contêm recursos.
Para fazer isso, basta criar a nova floresta como faria normalmente para uma nova implantação do AD usando DCPROMO. Em seguida, você cria seus domínios filhos em seus controladores de domínio filhos. Não há nada de especial que você faça durante a criação do domínio raiz da floresta.
A “raiz vazia” é hoje apenas uma estrutura política. Foi demonstrado que a "raiz vazia" não oferece segurança. Um "Administrador de Domínio" em qualquer domínio filho pode se tornar um "Administrador Corporativo" com bastante facilidade.
Quando você pergunta "Enquanto estou aqui, os controladores de domínio que são membros de uma floresta ainda funcionarão se a floresta ficar offline?", acho que você está perguntando "O que acontece se eu perder todos os controladores de domínio raiz da floresta? "
Isso seria ruim. Vocêpoderser capaz de projetar problemas de caminho de confiança do Kerberos que ocorreriam usando relações de confiança de atalho, mas em geral você não deseja perder todos os controladores de domínio no domínio raiz da floresta ou está tentando reconstruir a floresta inteira.Não faça isso (tm).
Editar:
Você deve sempre tentar usar um único domínio sempre que possível. A menos que você precise de várias políticas de senha (e não possa usar a funcionalidade granular de política de senha no Active Directory do Windows 2008), tente se limitar a um único domínio.
A raiz vazia não faz muito sentido hoje, exceto em situações políticas em que alguma parte de uma organização não pode “aceitar” que a raiz da floresta possa ser “propriedade” de outra pessoa. (Mesmo assim, isso é apenas um argumento político falso porque, tecnicamente, a estratégia de raiz vazia não tem “dentes” de segurança.)
As implantações de vários domínios são válidas quando você precisa ter várias senhas ou deseja restringir o escopo de replicação do NC de domínio completo (ou, suponho, se você quiser usar a replicação AD baseada em SMTP). Se você não tem essas necessidades, realmente não precisa de vários domínios.
Se você realmente precisa de isolamento entre partes de uma organização, proteção para o esquema/configuração do AD e delegação de administração fortemente restrita entre diferentes partes da organização, então você provavelmente deseja uma infraestrutura multifloresta (embora esta seja a mais complexa e cansativa tipo para administrar).