Как создать деидентифицированный корневой домен леса? Я знаком с Active Directory и использовал dcpromo.exe в «Расширенном режиме», но я не уверен, как создать деидентифицированный корневой домен леса?
Пока я здесь, будут ли контроллеры домена, входящие в лес, работать, если их лес отключится?
решение1
Первый домен, который вы создаете в лесу, автоматически становится корневым доменом леса, вам не нужно делать ничего особенного, просто сообщите мастеру DCPromo, что это новый домен в новом лесу, и все.
решение2
Я думаю, вы говорите о стратегии проектирования Active Directory "пустой корень". Это когда вы создаете корневой домен леса, который, в конечном счете, не имеет пользователей или ресурсов и просто используется как родительский для дочерних доменов, содержащих ресурсы.
Для этого вы просто создаете новый лес, как обычно для нового развертывания AD с использованием DCPROMO. Затем вы создаете дочерние домены на дочерних DC. Ничего особенного вы не делаете во время создания корневого домена леса.
"Пустой корень" сегодня — это всего лишь политическая структура. Было показано, что "пустой корень" не обеспечивает никакой безопасности. "Администратор домена" в любом дочернем домене может довольно легко превратить себя в "Администратора предприятия".
Когда вы спрашиваете: «Пока я здесь, будут ли работать контроллеры домена, входящие в лес, если их лес отключится?», я думаю, вы спрашиваете: «Что произойдет, если я потеряю все контроллеры корневого домена леса?»
Это было бы плохо. Тымощьиметь возможность проектировать обходные пути путей доверия Kerberos, которые могут возникнуть при использовании сокращенных доверительных отношений, но в целом вы не хотите потерять все контроллеры домена в корневом домене леса или рассматривать возможность перестройки всего леса.Не делай этого(тм).
Редактировать:
Всегда старайтесь использовать один домен, когда это возможно. Если только у вас нет необходимости в нескольких политиках паролей (и вы не можете использовать функциональность гранулярной политики паролей в Windows 2008 Active Directory), старайтесь придерживаться одного домена.
Сегодня пустой корень не имеет особого смысла, за исключением политических ситуаций, когда какая-то часть организации не может «принять» тот факт, что корень леса может «принадлежать» кому-то другому. (Даже в этом случае это просто фальшивый политический аргумент, поскольку технически стратегия пустого корня не имеет «зубов» безопасности.)
Развертывания с несколькими доменами допустимы, когда вам нужно иметь несколько паролей или вы хотите ограничить область репликации полного доменного NC (или, я полагаю, если вы хотите использовать репликацию AD на основе SMTP). Если у вас нет таких потребностей, вам действительно не нужен мультидоменный режим.
Если вам действительно нужна изоляция между частями организации, защита схемы/конфигурации AD и жестко ограниченное делегирование администрирования между различными частями организации, то вам, вероятно, понадобится инфраструктура с несколькими лесами (хотя это самый сложный и утомительный тип для администрирования).