stead1984 Asked: 2009-07-14 05:28:33 +0800 CST2009-07-14 05:28:33 +0800 CST 2009-07-14 05:28:33 +0800 CST 如何创建专用林根域? 772 如何创建专用林根域?我熟悉 Active Directory 并在“高级模式”中使用过 dcpromo.exe,但我不确定如何创建专用林根域? 虽然我在这里,但如果他们的林要脱机,作为林成员的域控制器是否仍然可以工作? domain-controller active-directory domain 2 个回答 Voted Evan Anderson 2009-07-14T05:33:28+08:002009-07-14T05:33:28+08:00 我认为您在谈论“空根”Active Directory 设计策略。这是您创建林根域的地方,该域最终没有用户或资源,仅用作包含资源的子域的父级。 为此,您只需像通常使用 DCPROMO 进行新 AD 部署一样创建新林。然后,您在子 DC 上创建子域。在创建林根域期间,您没有做任何特别的事情。 “空根”在今天只是一种政治结构。已经表明“空根”不提供安全性。任何子域中的“域管理员”都可以很容易地使自己成为“企业管理员”。 当您问“虽然我在这里,如果森林要脱机,作为森林成员的域控制器是否仍然可以工作?”,我想您是在问“如果我失去所有森林根域控制器会怎样? " 那会很糟糕。您可能能够解决使用快捷方式信任会发生的 Kerberos 信任路径问题,但通常您不希望丢失林根域中的所有域控制器,或者您正在考虑重建整个林。不要那样做(tm)。 编辑: 您应始终尽可能尝试使用单个域。除非您需要多个密码策略(并且无法使用 Windows 2008 Active Directory 中的细粒度密码策略功能),否则请尽量坚持使用单个域。 空根在今天实际上没有多大意义,除非在组织的某些部分不能“接受”森林根可能由其他人“拥有”的政治情况下。(即便如此,这只是一个虚假的政治论点,因为从技术上讲,空根策略没有安全“牙齿”。) 当您需要多个密码或想要限制整个域 NC 的复制范围(或者,我想,如果您想使用基于 SMTP 的 AD 复制)时,多域部署是有效的。如果你没有这些需求,你真的不需要多域。 如果您确实需要在组织的各个部分之间进行隔离、保护 AD 架构/配置以及在组织的不同部分之间严格限制管理委派,那么您可能需要一个多林基础架构(尽管这是最复杂和最烦人的)要管理的类型)。 Best Answer Sam Cogan 2009-07-14T05:32:45+08:002009-07-14T05:32:45+08:00 您在林中创建的第一个域自动成为林根域,您无需执行任何特殊操作,只需告诉 DCPromo 向导它是新林中的新域即可。
我认为您在谈论“空根”Active Directory 设计策略。这是您创建林根域的地方,该域最终没有用户或资源,仅用作包含资源的子域的父级。
为此,您只需像通常使用 DCPROMO 进行新 AD 部署一样创建新林。然后,您在子 DC 上创建子域。在创建林根域期间,您没有做任何特别的事情。
“空根”在今天只是一种政治结构。已经表明“空根”不提供安全性。任何子域中的“域管理员”都可以很容易地使自己成为“企业管理员”。
当您问“虽然我在这里,如果森林要脱机,作为森林成员的域控制器是否仍然可以工作?”,我想您是在问“如果我失去所有森林根域控制器会怎样? "
那会很糟糕。您可能能够解决使用快捷方式信任会发生的 Kerberos 信任路径问题,但通常您不希望丢失林根域中的所有域控制器,或者您正在考虑重建整个林。不要那样做(tm)。
编辑:
您应始终尽可能尝试使用单个域。除非您需要多个密码策略(并且无法使用 Windows 2008 Active Directory 中的细粒度密码策略功能),否则请尽量坚持使用单个域。
空根在今天实际上没有多大意义,除非在组织的某些部分不能“接受”森林根可能由其他人“拥有”的政治情况下。(即便如此,这只是一个虚假的政治论点,因为从技术上讲,空根策略没有安全“牙齿”。)
当您需要多个密码或想要限制整个域 NC 的复制范围(或者,我想,如果您想使用基于 SMTP 的 AD 复制)时,多域部署是有效的。如果你没有这些需求,你真的不需要多域。
如果您确实需要在组织的各个部分之间进行隔离、保护 AD 架构/配置以及在组织的不同部分之间严格限制管理委派,那么您可能需要一个多林基础架构(尽管这是最复杂和最烦人的)要管理的类型)。
您在林中创建的第一个域自动成为林根域,您无需执行任何特殊操作,只需告诉 DCPromo 向导它是新林中的新域即可。