Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы определить количество лесов, которые необходимо развернуть, необходимо тщательно определить и оценить требования к изоляции и автономии для каждой группы в организации и сопоставить эти требования с соответствующими моделями проектирования леса.
При определении количества лесов, которые необходимо развернуть для вашей организации, рассмотрите следующее:
Требования к изоляции ограничивают выбор конструктора. Таким образом, если вы определяете требования к изоляции, убедитесь, что группы фактически требуют изоляции данных и что автономность данных недостаточно для их потребностей. Убедитесь, что различные группы в организации четко понимают понятия изоляции и автономии.
Переговоры по проектированию могут быть длительным процессом. Группам может быть трудно прийти к соглашению о собственности и использовании для доступных ресурсов. Убедитесь, что вы позволяете достаточно времени для групп в организации проводить надлежащие исследования для выявления своих потребностей. Задайте твердые сроки для принятия решений по проектированию и получить консенсус со всех сторон на установленные сроки.
Определение количества лесов для развертывания включает балансировку затрат на преимущества. Модель с одним лесом является наиболее экономичным вариантом и требует минимального объема административных расходов. Хотя группа в организации может предпочесть автономные операции службы, она может оказаться более экономичной для организации, чтобы подписаться на доставку услуг из централизованной и доверенной информационной технологии (IT). Это позволяет группе управлять данными без создания дополнительных затрат на управление службами. Балансировка затрат на преимущества может потребовать ввода от исполнительного спонсора.
Один лес — это самая простая конфигурация для управления. Это обеспечивает максимальную совместную работу в среде, так как:
Все объекты в одном лесу перечислены в глобальном каталоге. Поэтому синхронизация между лесами не требуется.
Управление дублирующей инфраструктурой не требуется.
Мы не рекомендуем совместное владение одним лесом двумя отдельными и автономными ИТ-организациями. В будущем цели двух ИТ-групп могут измениться, чтобы они больше не могли принимать общий контроль.
Мы не рекомендуем администрировать услуги аутсорсинга для нескольких внешних партнеров. Многонациональные организации, имеющие группы в разных странах или регионах, могут выбрать аутсорсинг администрирования служб в другой внешний партнер для каждой страны или региона. Поскольку несколько внешних партнеров не могут быть изолированы друг от друга, действия одного партнера могут повлиять на службу другого, что затрудняет проведение партнерами ответственности за их соглашения об уровне обслуживания.
В любое время должен существовать только один экземпляр домена Active Directory. Корпорация Майкрософт не поддерживает клонирование, разделение или копирование контроллеров домена из одного домена в попытке установить второй экземпляр одного домена. Дополнительные сведения об этом ограничении см. в следующем разделе.
Restructuring limitations
Когда компания приобретает другую компанию, бизнес-подразделение или линейку продуктов, покупательская компания также может потребовать получения соответствующих ИТ-активов от продавца. В частности, покупателю может потребоваться получить некоторые или все контроллеры домена, в которых размещаются учетные записи пользователей, учетные записи компьютеров и группы безопасности, соответствующие бизнес-ресурсам, которые необходимо получить. Ниже приведены только поддерживаемые методы приобретения ИТ-активов, хранящихся в лесу Active Directory продавца:
Получите единственный экземпляр леса, включая все контроллеры домена и данные каталога в лесу продавца.
Перенос необходимых данных каталога из леса или доменов продавца в один или несколько доменов покупателя. Цель такой миграции может быть совершенно новым лесом или одним или несколькими существующими доменами, которые уже развернуты в лесу покупателя.
Это ограничение поддержки существует, так как:
Каждый домен в лесу Active Directory назначается уникальное удостоверение во время создания леса. Копирование контроллеров домена из исходного домена в клонированные домены компрометирует безопасность как доменов, так и леса. Ниже приведены угрозы исходному домену и клонированного домена:
Общий доступ к паролям, которые можно использовать для получения доступа к ресурсам
Аналитические сведения о привилегированных учетных записях пользователей и группах
Сопоставление IP-адресов с именами компьютеров
Дополнения, удаления и изменения сведений о каталоге, если контроллеры домена в клонированного домена когда-либо устанавливают сетевое подключение с контроллерами домена из исходного домена.
Клонированные домены используют общее удостоверение безопасности; Таким образом, отношения доверия нельзя установить между ними, даже если один или оба домена были переименованы.