Elegir entre instalar HGS en su propio bosque o en un bosque bastión existente

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

El bosque de Active Directory para HGS es confidencial porque sus administradores tienen acceso a las claves que controlan las máquinas virtuales blindadas. La instalación predeterminada configura un nuevo bosque específico para HGS y otras dependencias. Se recomienda esta opción porque el entorno es independiente y se sabe que es seguro cuando se crea.

El único requisito técnico para instalar HGS en un bosque existente es que se agregue al dominio raíz. No se admiten dominios que no son raíz. Por otro lado, también hay requisitos operativos y procedimientos recomendados relacionados con la seguridad para usar un bosque existente. Los bosques adecuados están creados para cumplir una función de confidencialidad, como el bosque que usa Privileged Access Management para AD DS (Administración de acceso privilegiado para AD DS) o un bosque del Ambiente administrativo de seguridad mejorada (ESAE). Estos bosques suelen reunir las siguientes características:

• Tienen pocos administradores (sin contar los administradores de tejido)
• Hay un número bajo de inicios de sesión
• En su esencia, no son de uso general

Los bosques de uso general como los bosques de producción no son adecuados para que los use HGS. Dado que HGS necesita aislarse de los administradores de tejido, los bosques de tejido no son adecuados.

Paso siguiente

Elija la opción de instalación que mejor se ajusta a su ambiente:

• Instalación de HGS en su propio bosque
• Instalación de HGS en un bosque bastión existente