檢閱領域模型
下列因素會影響您選取的網域設計模型:
您的網路上願意配置給 Active Directory Domain Services (AD DS) 的可用容量數量。 目標是選取一個模型,提供有效率的資訊複寫,而且對可用網路頻寬的影響最小。
組織中的使用者數目。 如果您的組織包含大量使用者,部署多個網域可讓您分割資料,並讓您更充分掌控*通過指定網路連線的複寫流量多寡。 這可讓您控制資料複寫的位置,並減少網路中緩慢連結上複寫流量所產生的負載。
最簡單的網域設計是單一網域。 在單一網域設計中,所有資訊都會複寫到所有網域控制站。 不過,如有必要,您可以部署其他區域網域。 如果網路基礎結構的一部分是由低速連結連線,而且樹系擁有者想要確定複寫流量不會超過已配置給 AD DS 的容量,就可能會發生這種情況。
最好將您在樹系中部署的網域數目降到最低。 這樣可以降低部署的整體複雜度,因此可降低所有權總成本。 下表列出與新增區域網域關聯的系統管理成本。
| 成本 | 含意 |
|---|---|
| 管理多個服務管理員群組 | 每個網域都有自己的服務管理員群組,需要獨立管理。 這些服務系統管理員群組的成員資格必須謹慎控制。 |
| 維護多個網域通用群組原則設定之間的一致性 | 需要在全樹系中套用的群組原則設定必須分別套用至樹系中的每一個別網域。 |
| 維護多個網域通用的存取控制與稽核設定之間的一致性 | 需要跨樹系套用的存取控制和稽核設定必須分別套用至樹系中的每一個別網域。 |
| 物件在網域之間移動的可能性增加 | 網域數目越多,使用者必須從某個網域移至另一個網域的可能性越大。 這項移動可能會影響終端使用者。 |
注意
Windows Server 精細的密碼和帳戶鎖定原則也會影響您選取的網域設計模型。 在 Windows Server 2008 的此一版本之前,您只能將一個密碼與帳戶鎖定原則 (在網域的預設網域原則中指定) 套用至所有網域中的使用者。 因此,如果您想要針對不同的使用者集合套用不同的密碼與帳戶鎖定設定,您必須建立密碼篩選條件或部署多個網域。 您現在可以使用更細緻的密碼原則來指定多個密碼原則,並將不同的密碼限制與帳戶鎖定原則套用至單一網域中的不同使用者集合。 如需細緻密碼和帳戶鎖定原則的詳細資訊,請參閱 AD DS 細緻密碼和帳戶鎖定原則逐步指南。
單一網域模型
單一網域模型最容易管理,維護成本也最低。 它是由包含單一網域的樹系所組成。 此網域是樹系根網域,其中包含樹系中的所有使用者和群組帳戶。
單一網域樹系模型具有以列優點,可減少系統管理複雜性:
任何網域控制站都可以驗證樹系中的任何使用者。
所有網域控制站都可以是通用類別目錄,因此您不需要規劃通用類別目錄伺服器的放置。
在單一網域樹系中,所有目錄資料都會複寫到為網域控制站提供主機服務的所有地理位置。 雖然此模型最容易管理,但它也會建立兩個網域模型中的最大複寫流量。 將目錄分割成多個網域可限制將物件複寫到特定地理區域,但會產生更多的系統管理額外負荷。
區域領域模型
網域中的所有物件資料都會複寫到該網域中的所有網域控制站。 基於這個理由,如果您的樹系包含大量分散到不同地理位置 (由廣域網路連接) 的使用者,您可能需要部署區域網域,以減少透過 WAN 連結的複寫流量。 根據網路 WAN 連線能力,可以組織以地理位置為基礎的區域網域。
區域網域模型可讓您維持長期穩定的環境。 依據穩定元素 (例如洲際界限) 定義模型中網域的區域。 根據其他因素的網域 (例如組織內的群組) 可能會經常變更,而且可能需要您重新建構環境。
區域定義域模型是由樹系根網域和一個或多個區域網域所組成。 建立區域網域模型設計牽涉到識別樹系根網域是什麼網域,以及判斷符合複寫需求所需的其他網域數目。 如果您的組織包含需要將資料或服務與組織中其他群組隔離的群組,請為這些群組建立個別的樹系。 網域不提供資料隔離或服務隔離。