Domínio filho versus relação de confiança

Navegue suas respostas
7

Então aqui está o cenário -

Estamos no processo de centralizar a TI para um data center em um único local. Atualmente, tenho 12 empresas operacionais diferentes que precisam de uma funcionalidade compartilhada de segurança e troca. Tal como está, são todos domínios individuais separados de níveis variados. Existe um sistema de contabilidade para toda a empresa que precisa ser integrado com o AD atualmente em execução em um domínio completamente separado, assim como eu gostaria de ver as pessoas usando suas próprias informações de logon do AD para usar.

Aqui está a minha pergunta -

Sabendo que todos os domínios do Active Directory precisam ser tocados, de qualquer forma, para que todos tenham um nível funcional uniforme e que haja trabalho significativo a ser feito, não importa qual configuração seria melhor? Eu sei que há vários pontos em cada um deles, mas quero ter certeza de que estou cobrindo minhas bases agora antes de escolher um caminho. Eu vou para um único domínio forest \ parent? Ou separar domínios usando relações de confiança entre o domínio corporativo e as empresas operacionais, como uma configuração de spoke e hub? Quais são os prós e contras de cada um?

Obrigado -

Detalhes adicionais: Há alguma necessidade de ter delegação de administração ... ela opera mais como um ambiente de franquia do que uma única empresa. Haverá pessoal administrativo responsável apenas por sua empresa e nada mais. As despesas gerais de hardware e software não são um problema, cada empresa usa um conjunto diferente de políticas, de modo que a parte da política não oferece nenhuma vantagem ou desvantagem real.

Se empresas operacionais estão espalhadas pelos EUA, isso muda suas recomendações?

    
por NotDrowningYet 09.01.2013 / 22:57

3 respostas

7

O motivo mais strong para não ir com um único domínio (e floresta) é se você precisa ter administradores separados em cada floresta. Esse é o limite de segurança. Se as mesmas pessoas tiverem o conjunto completo de chaves, facilite-as. Para ser claro, não estou falando sobre delegação para determinadas tarefas - este é o grupo de pessoas que serão administradores corporativos.

Isso não muda muito minhas recomendações, porque você pode delegar as coisas conforme necessário, como eu disse acima. Se parte da organização tiver administradores locais que precisem poder editar o GPO atribuído a sua unidade organizacional, você poderá fornecer isso a eles, por exemplo. No entanto, se eles precisarem ter controle total sobre sua parte do domínio, a ponto de precisarem ser capazes de bloqueá-lo, você precisará de florestas separadas e poderá ter dificuldades em compartilhar a troca. Então, como você está compartilhando "segurança e troca", parece que um único domínio ainda é o caminho certo a seguir.

    
por 09.01.2013 / 23:20
5

Pessoalmente, se este é um projeto de centralização, eu usaria um domínio e usaria UOs para separar as coisas. Isso economiza a necessidade de ter redundância total para cada domínio filho, facilita o roaming e o movimento e reduz massivamente a configuração e a complexidade.

Quase não há desvantagens se você configurar sites e serviços adequadamente.

    
por 09.01.2013 / 23:07
2

A estrutura de domínio pai / filho é um artefato do século XX. Houve um raciocínio em um ponto, talvez ao adquirir / fiar empresas, fazia mais sentido segregar entidades de negócios em seu próprio domínio.

Temos praticamente isso, um domínio raiz pai com 13 domínios filho. Todos esses domínios têm relações de confiança e, se as relações de confiança quebrarem, o mesmo acontecerá com todo o resto. Na minha experiência, essas quebras são geralmente auto-infligidas, mas o impacto é muito alto. Ah, e eles podem quebrar em duas direções, por isso, se você seguir esse caminho, certifique-se de saber como usar o nltest para verificar as relações de confiança em todos os domínios em ambas as direções, se tiver um problema.

Existem outras implicações. Todos esses domínios têm várias partições que são replicadas para o catálogo global. Nosso GC tem algo como mais de 40 partições. A replicação é mais complexa e há mais para quebrar. Gosta de repadmin? É melhor você ir com domínios separados.

Eu não buscaria uma estratégia de domínio pai / filho a menos que houvesse uma necessidade imperiosa de fazer isso.

Uma outra coisa, se o domínio em que o aplicativo de contabilidade está localizado precisar se comunicar com outros servidores (como servidores Web front-end) e você estiver usando a representação, esses servidores precisarão estar no mesmo domínio. É claro que, se você tiver um domínio simples, isso não é um problema, mas algumas implementações grandes e distribuídas do AD são queimadas por isso. As contas de usuário podem estar em qualquer domínio, mas os servidores de recursos, como servidores Web front-end e bancos de dados back-end, precisam estar no mesmo domínio, se estiverem usando representação.

    
por 10.01.2013 / 01:44

Tags

Centos iptables abre porta 53 GeoIP para configuração no nginx