Preciso de domínios filhos no AD?

Preciso de domínios filhos no AD?

Eu tenho uma organização com sede (cerca de 150 usuários) em uma cidade e 16 filiais (escolas de ensino médio, 300-400 usuários cada), cada uma em uma cidade diferente.

O que preciso fazer é criar domínio(s) no AD para rede corporativa.

Foi-me sugerido fazer o seguinte:

  • crie UO para cada escola e delegue o controle administrativo ao administrador local.
  • criar site para cada escola e controlar replicações (por exemplo, replicar à noite).
  • ter 1 DC funcionando e 1 DC duplicado (backup) para redundância em cada local (escola)

Minha pergunta é

  • Preciso criar um domínio filho para cada local, como city1.school.org, city2.school.org e assim por diante? E qual seria o benefício disso?

Disseram-me que isso criaria mais dor de cabeça e depende mais da estrutura lógica da organização do que da física. No entanto, gostaria de ouvir os prós e os contras e em que casos é mais adequado.

Responder1

Não, quase certamente não. A menos que você sofra pressão política para que um administrador tenha efetivamente acesso a tudo, opte por um domínio. Existem argumentos em relação ao mesmo namespace DNS usado, o que pode não ser adequado para uma multinacional multimarcas, mas parece que isso não é um problema para você. Novamente, tudo isso é besteira. Em termos de escalabilidade, o AD agora se adapta muito bem. A replicação também pode ser controlada muito bem. As coisas mudaram desde o Windows 2000 Server.

Invertendo a questão, vários domínios aumentam as despesas operacionais (desde gerenciamento diário de usuários/grupos, auditoria, proteção de backups de AD, comprovação de recuperação, etc.), mas também introduzem o potencial para inconsistências de configuração entre domínios.

Domínio único... o caminho a seguir.

Em termos de posicionamento de DC, não se empolgue demais com o modelo de dois DCs por site da Microsoft. Observe seus links WAN e, mais especificamente, a triangulação em sites. Se você tiver links redundantes e o MTBF nesses links for alto, não exagere na engenharia desnecessariamente. Não sei quão grandes/autônomas são suas escolas. No entanto, se a latência em seus links for alta, talvez sejam necessários controladores de domínio no local. Todo esse argumento se resume ao nível de serviço que sua WAN oferece. Você sempre pode adicionar DCs adicionais, se necessário. Retirá-los não é tão simples (experiência versus teoria).

Além disso, não se esqueça dos controladores de domínio somente leitura (RODCs), que funcionam perfeitamente no núcleo do servidor. Isso pode não ser relevante para você, pois parece que suas escolas são bastante autônomas, mas se você, por exemplo, tivesse uma escola menor, que não fizesse/não pudesse fazer seu próprio gerenciamento de usuários, então um RODC seria fantástico .

Em resumo, acerte seus bollotics e, em seguida, organize uma pesquisa WAN.

Responder2

De modo geral, você deve sempre tentar ter uma estrutura de domínio o mais plana possível, de preferência um único domínio. O particionamento em domínios deve ter motivadores comerciais claros, pois há poucos motivos técnicos para "arquitetar" um sistema Active Directory dessa maneira. Vários domínios criam uma complexidade que pode ser assustadora quando ocorrem problemas. Os domínios têm relações de confiança que podem ser quebradas e causam estragos em quase tudo.

Alguns dos critérios de decisão podem ser orientados pela política. Podem existir entidades que exijam controle sobre um limite de segurança; uma maneira de fazer isso é fornecer a eles seu próprio domínio. Um exemplo seria o governo dos EUA, onde não é incomum que um departamento tenha a sua própria floresta e as agências constituintes tenham o seu próprio domínio. Além da política, a justificativa técnica para isso nem sempre é convincente. Antes do Windows 2008, algumas coisas, como políticas de senha, podiam exigir seu próprio domínio. Um fator técnico pode ser que outro domínio queira usar um nível de domínio funcional do Active Directory que não esteja disponível no momento se eles tiverem sido consolidados em um único domínio.

Algumas pessoas são da opinião de que alguns tipos de unidades de negócios são candidatas a domínios separados, como subsidiárias integrais, onde a estratégia é eventualmente transformá-las em uma empresa separada. Ou se os requisitos regulamentares especificassem uma separação de preocupações, como se houvesse uma unidade de negócios sujeita a controlos regulamentares ou financeiros rigorosos, ou se uma unidade de negócios fosse uma fundação sem fins lucrativos.

informação relacionada