Vários ambientes do Active Directory de teste de mãos dadas com controladores de domínio de produção

3

Qual é a melhor abordagem de ter vários ambientes de teste ao lado da produção um?

Temos várias equipes de programação que criam soluções que usam o Active Directory com muita frequência. Nós tentamos diferentes abordagens, começando com seus próprios controladores de domínio (na mesma sub-rede), ou UOs adicionais em nosso AD de produção que a equipe obtém controle e pode criar / excluir contas dentro dessa UO.

Pensamos em possíveis 4 soluções:

  1. Configurando OUs separadas em ou env de produção.
  2. Criando subdomínios para o domínio contoso.com como test.contoso.com , something.contoso.com e delegando o controle para as equipes (precisaríamos de outros DCs ou os dois que já foram suficientes para manter isso?
  3. Configurando um controlador de domínio de teste adicional que tenha uma confiança em nosso domínio principal e todas as equipes podem usar o controlador de domínio de teste da maneira que desejarem.
  4. Configurando o controlador de domínio único para cada equipe / projeto.

Estamos levando em consideração a quantidade de recursos necessários, a segurança (por exemplo, ter vários controladores de domínio com várias senhas podem levar os usuários a usar senhas mais simples) e as melhores práticas gerais para esse cenário.

Atualização: Em 90% dos casos será autenticação para SharePoint, BizTalk, CRM's etc. Em outros casos pode ser SPN, autenticação de kerberos e testes com Certificate Authority.

    
por MadBoy 28.12.2010 / 16:07

1 resposta

3

Depende do que você está testando e do que precisa fazer no AD. Meus pensamentos sobre suas soluções:

  1. Tudo bem se você está apenas testando a criação / exclusão de contas, como você disse na sua pergunta. Contanto que sejam todos ou mais do que seus produtos estão fazendo.
  2. Sim - todo domínio precisa de pelo menos um único CD - dois é melhor no caso de um deles falhar. Mesmo para um ambiente de teste. Isso permite que eles façam o que quiserem.
  3. É uma ideia terrível. Não importa em que DC em seu domínio eles se conectam - AD é um banco de dados multi-mestre, portanto, uma alteração feita em um local será replicada em todos os lugares. Você não protegeu nada. Se você permitir que eles adicionem / excluam contas em qualquer lugar, eles podem excluir acidentalmente todas as contas ou realizar outras atividades em sua rede de produção. A primeira tarefa depois de restaurar sua rede será uma nevasca de deslizamentos cor-de-rosa, e provavelmente para seus administradores de sistema, não para o time de desenvolvimento.
  4. Na era atual de virtualização fácil, provavelmente é melhor fazer pelo menos um domínio de teste (sem trusts de / para o domínio prod) para todos e, dependendo do layout corporativo e da rede, criar domínios de teste adicionais para todos podem interagir conforme necessário, ou permitir que cada um de seus desenvolvedores tenha um DC (ou mais) em execução em uma VM em sua própria máquina ou em uma segunda área de trabalho em seu cubo. Há muitas outras opções arquitetônicas também; dependendo do seu orçamento e necessidades.
por 28.12.2010 / 16:35