Scegliere se installare il servizio Sorveglianza host in una foresta dedicata o in una foresta bastion esistente
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
La foresta di Active Directory per il servizio Sorveglianza host è sensibile perché gli amministratori hanno accesso alle chiavi che controllano le macchine virtuali schermate. L'installazione predefinita configurerà una nuova foresta dedicata per il servizio Sorveglianza host e configurerà altre dipendenze. Questa opzione è consigliata perché l'ambiente è autonomo e noto per essere sicuro quando viene creato.
L'unico requisito tecnico per l'installazione del servizio Sorveglianza host in una foresta esistente è che venga aggiunto al dominio radice. I domini non radice non sono supportati. Esistono tuttavia anche requisiti operativi e procedure consigliate relative alla sicurezza per l'uso di una foresta esistente. Le foreste adatte vengono create appositamente per gestire una funzione sensibile, ad esempio la foresta usata da Privileged Access Management per Active Directory Domain Services o una foresta di Enhanced Security Administrative Environment (ESAE). Tali foreste presentano in genere le caratteristiche seguenti:
- Hanno pochi amministratori (separati dagli amministratori dell'infrastruttura)
- Hanno un numero basso di accessi
- Non sono di natura generica
Le foreste per utilizzo generico, ad esempio le foreste di produzione, non sono adatte per l'uso da parte del servizio Sorveglianza host. Le foreste di infrastruttura non sono adatte perché il servizio Sorveglianza host deve essere isolato dagli amministratori dell'infrastruttura.
Passaggio successivo
Scegliere l'opzione di installazione più adatta all'ambiente: