Preciso de domínios filho no AD?

5

Eu tenho uma organização com sede (cerca de 150 usuários) em uma cidade e 16 filiais (escolas de ensino médio, 300-400 usuários cada) em cidades diferentes.

O que preciso fazer é criar um domínio (s) no AD para a rede corporativa.

Sugeriram-me que fizesse o seguinte:

  • crie OU para cada escola e delegue o controle administrativo para o administrador local.
  • crie um site para cada escola e controle as replicações (por exemplo, replicar à noite).
  • tem 1 DC funcionando e 1 DC duplicado (backup) para redundância em cada local (escola)

Minha pergunta é

  • Preciso criar um domínio filho para cada local, como city1.school.org, city2.school.org e assim por diante? E qual seria o benefício disso?

Foi dito que isso criaria mais dor de cabeça e mais depende da estrutura lógica da organização do que da física. Howerver, gostaria de ouvir os prós e contras dele e em quais casos é mais adequado.

    
por epema 26.08.2012 / 21:06

2 respostas

7

Não, quase certamente não. A menos que você tenha pressão política em termos de um administrador ter efetivamente acesso a tudo, permaneça em um domínio. Existem argumentos em relação ao mesmo namespace de DNS sendo usado, o que pode não ser adequado a uma multinacional de várias marcas, mas parece que isso não é um problema para você. Mais uma vez, isso é tudo bollotics. Em termos de escalabilidade, o AD agora se adapta muito bem. A replicação também pode ser controlada muito bem. As coisas mudaram desde o Windows 2000 Server.

Invertendo a questão, vários domínios aumentam as despesas operacionais (do gerenciamento diário de usuários / grupos, auditoria, proteção de backups do AD, recuperação de provas, etc.), mas também introduzem o potencial de inconsistências de configuração entre domínios .

Domínio único ... o caminho a seguir.

Em termos de veiculação de DC, não se deixe levar muito pelo modelo de dois DCs da Microsoft por site. Veja seus links WAN e, mais especificamente, triangulação em sites. Se você tiver links redundantes e o MTBF nesses links for alto, não faça engenharia excessiva desnecessariamente. Não sei quão grandes / autônomas são suas escolas. No entanto, se a latência em seus links for alta, talvez sejam necessários DCs no local. Todo esse argumento se resume ao nível de serviço que sua WAN oferece. Você sempre pode adicionar outros DCs, se necessário. Retirá-los não é tão simples (experiência versus teoria).

Além disso, não se esqueça dos RODCs (Read Only Domain Controllers), que funcionam perfeitamente no núcleo do servidor. Isso pode não ser relevante para você, pois parece que suas escolas são bastante autônomas, mas se você, por exemplo, tivesse uma escola menor, que não podia / não poderia fazer seu próprio gerenciamento de usuários, então um RODC seria fantástico. .

Em resumo, prepare sua bollotics e organize uma pesquisa da WAN.

    
por 26.08.2012 / 22:10
3

Em geral, você deve sempre tentar ter uma estrutura de domínio tão plana quanto possível, de preferência um único domínio. O particionamento em domínios deve ter drivers de negócios claros, pois há poucas razões técnicas para "arquitetar" um sistema do Active Directory dessa maneira. Vários domínios criam complexidade que pode ser assustadora quando ocorrem problemas. Domínios têm relações de confiança que podem quebrar e que causam estragos em quase tudo.

Alguns dos critérios de decisão podem ser conduzidos pela política. Pode haver entidades que exigem controle sobre um limite de segurança; Uma maneira de fazer isso é fornecer a eles seu próprio domínio. Um exemplo seria o governo dos EUA, onde não é incomum que um departamento tenha sua própria floresta, e as agências constituintes tenham seu próprio domínio. Além da política, a lógica técnica para isso nem sempre é convincente. Antes do Windows 2008, algumas coisas, como políticas de senha, podem ter exigido seu próprio domínio. Um driver técnico pode ser que outro domínio deseje usar um nível de domínio funcional do Active Directory que não esteja disponível no momento se eles estiverem consolidados em um único domínio.

Algumas pessoas são da opinião de que alguns tipos de unidades de negócios são candidatos a domínios separados, como subsidiárias integrais, onde a estratégia é, eventualmente, desmembrá-la em uma empresa separada. Ou se os requisitos regulamentares especificassem uma separação de interesses, como se houvesse uma unidade de negócios sujeita a controles regulatórios ou financeiros estritos, ou se uma unidade de negócios fosse uma fundação sem fins lucrativos.

    
por 26.08.2012 / 22:38