jaka jest przewaga środowiska wielodomenowego nad jednodomenowym?
Zamierzam przejść z NDS-a Novellovego na Windowsa 2012 R2 AD (8 spiętych oddziałów w Polsce).
jaka jest przewaga środowiska wielodomenowego nad jednodomenowym?
Zamierzam przejść z NDS-a Novellovego na Windowsa 2012 R2 AD (8 spiętych oddziałów w Polsce).
Projektując środowiska AD analizuje się potrzeby danej firmy, a nie przewagi jednego środowiska nad drugim. Co jest lepsze dla jednej firmy, może nie spełniać potrzeb i wymagań drugiej.
Zestawiając ze sobą środowisko jednej domeny i kilku wyjdzie nam, że jedna domena jest korzystniejsza.
Jedna domena:
Kilka domen:
Ale zacznijmy od początku. Tak wygląda proces projektowania środowiska usługi Active Directory:
Nie znając zupełnie środowiska, jego potrzeb i wymagań, odpowiedziałabym, że potrzebna jest jedna domena z maksymalnie 8 site-ami.
Co należy przeanalizować?
Ile lasów jest potrzebnych? Są właściwie 3 powody projektowania środowiska składającego się kilku lasów:
Ile domen jest potrzebnych?
Obecnie większość firm utrzymuje środowiska jednej domeny - są one tańsze, łatwiejsze w utrzymaniu i zarządzaniu, odtwarzaniu w przypadku awarii itp.
Trzeba pamiętać również o tym, że środowisko jednej domeny można również zdecentralizować od strony administracji. Służą do tego delegacje uprawnień, GPO ustawiane na poziomie OU, różne polityki haseł itp.
W załączniku dokument omawiający projektowanie AD.
Załączniki
Nie ma żadnej przewagi. Zwykle wystarczy jedna domena i wszystko można w niej zrobić, co przekłada się na łatwiejszą administrację i niższe koszty osobowe i sprzętowe (mniej DCków).
Wiele domen było kiedyś wymuszane głównie różnymi politykami haseł (w Win 2003), których inaczej nie dało się zrobić. Wiele domen wykorzystuje się podczas fuzji lub przygotowania do podziału organizacji.
Za wieloma domenami przemawiając więc w sumie tylko:
- wymogi prawne,
- chęć izolowania środowisk (wydzielone grupy domain adminów, odseparowane fizycznie miejsca przechowywania bazy AD z kontami użytkowników, większa izolacja serwerów z krytycznymi danymi).
W skrajnym przypadku może taka chęć prowadzić do tworzenia oddzielnych lasów i ewentualnie tworzenia między nimi forest trust + selective authentication + SID filtering.
Co do różnych schematów, to raczej wydumany, teoretyczny warunek. Schemat można rozszerzać dla różnych aplikacji i jeden schemat może obsłużyć wszystkie na raz.
Z punktu widzenia administrowania najlepsza jest jedna domena.