web-dev-qa-db-ja.com

いつフォレストに追加のドメインを作成する必要がありますか?

私の会社は別の国で新しいサイトを開設しています。新しいサーバーをそこにインストールする予定で、決定できない質問があります。フォレストに新しいドメインを作成する必要がありますか、それとも同じドメインを使用して新しいドメインコントローラーを実装する必要があります。

2つの会社は分離されていますが、緊密に協力しています。また、両方のITを管理していますが、大人になったときに独自のITを持っている可能性があることも除外できません。私たちは共通のネットワーク共有にアクセスし、両社にあるリソースを使用する場合があります。また、一部のユーザーは、ある会社から別の会社に移動することがよくあります。

新しいドメインで私が目にする利点は、主に整然とした組織に関連しており、フォレストからのGPOを使用する利点を維持しながら、専任部門の場合は管理が改善されています。ユーザーが異なるドメインのデータにアクセスできるように信頼を設定します。

私が目にする唯一の欠点は、場合によっては両方のユーザーグループを追加しなければならないことであり、適切に設定されていない場合、ADに基づくソフトウェアで何らかの問題が発生する可能性があります。私はこれについての経験がありませんので、それについてのあなたの意見を聞き、問題が発生する可能性のある場所を突き止めるのを助けたいと思います。

windowsactive-directorydomain-controller
6
Mateusz Kapusta

別のドメインを作成すると、複雑さが増します。単一ドメイン環境を維持できる範囲で、複雑さを制限します。単一ドメイン環境では、管理作業が簡単であることがわかりました。

視覚的な組織​​( "より整頓された組織")は、Active Directoryの組織単位(OU)などの他の機能を使用して実現できます。個人的には、そのような「整然とした」理由を2番目のドメインを作成するのに十分とは考えていません。

マルチドメイン環境で想定できるほぼすべての制御の委任シナリオは、OUで制御を委任することにより、単一のドメインで処理できます。

ログオン効率の観点からは、その場所で使用されるドメインに関係なく、その場所にドメインコントローラー(DC)コンピューターを配置することは理にかなっています。ユーザーが場所間を移動する場合、マルチドメイン環境では、さらに多くのDC(ドメインごとに1つ)が必要になります。

フォレスト間グループポリシーオブジェクト(GPO)は、私の経験では、やや不安定です。 DCドメインからのGPOは、そのドメインからのGPOを適用するマシンに適切に接続されてホストされます。これにより、単一ドメインと比較したマルチドメイン環境のDC。

私の意見では、マルチドメイン環境は、複数のドメインレベルのパスワードポリシーが必要な場合(および技術的な理由で単一のドメイン内で細かい設定が可能なパスワードポリシーを使用できない場合)、またはドメイン複製トラフィックレプリケーショントラフィックを制限するために分離を保証するほど極端です。

編集:

法的または組織的に本当に分離が必要な場合は、他の会社のための別個のフォレストが本当に唯一の方法です。同じフォレスト内の個別のドメインでは、ディレクトリのレプリケーションのパーティション分割を除いて、実用的な分離はありません。

12
Evan Anderson

あなたの質問が現在提起されているので、新しいドメインを使用する場合と同じように、Active Directoryに新しいサイトを設定することで最大限のメリットを得ることができるように思えます。新しい物理的な場所に同じドメインとフォレスト内に新しいドメインコントローラーを作成し、問題の新しいサイトを提供するように設定します(Active Directoryサイトとサービス管理ツールを使用)。

もちろん、 Mathiasのコメントの明確化 なしでは、私はそれを確実に言うのは快適ではありません。これらが実際に2つの異なる会社である場合、たとえ密接に連携していても、おそらく各会社にフォレストが必要です。それらを1つのADフォレストにバインドすると、単純なActive Directory管理の利点を上回る可能性のある望ましくない法的またはコンプライアンスの影響が生じる可能性があります。そして、これらの2つの会社が別々の方法で進んだ場合に何が起こるかという問題があります。誰が既存のフォレストを「所有」し、適切な解放をどのように実行し、その作業にお金を払い、現在フォレストを持たない会社のために新しいフォレストをセットアップするために支払うのですか。

フェデレーションサービスは、企業のフォレスト間の相互作用と、それらの異なるフォレスト内のリソースの相互利用を可能にするために正確に存在するため、別々の組織が同じフォレストを共有して連携する必要はありません。これはより複雑なセットアップであり、管理が必要ですが、ここで実際に2つの企業が関与している場合、私がお勧めするセットアップです。フェデレーションサービスを使用して相互に接続する2つの別々のフォレストです。各組織が独自のフォレストを所有し、フェデレーションサービスを使用して相互に接続する場合の煩わしさ、混乱、および政治が軽減され、コラボレーションの終了後に何が起こるかについて心配する必要はありません。

6
HopelessN00b

あなたの質問のほとんどは、技術的なものではなく、ビジネスレベルに向けられる必要があるようです。まず、ビジネスが2番目の会社を成長させ、成長したときに分離するつもりである場合、それらの分割を支援するために、別のドメインがそのシナリオで役立つ可能性があります。

ハードセキュリティ要件がRODCを使用しない限り、それらは単なる管理上のオーバーヘッドにすぎず、ほとんどすべてのシナリオで煩わしいものではありません。理論的には素晴らしい、実際には痛みを伴う。とにかくそれを行う前に、少なくともラボで何をしているのか理解してください。

企業が一緒にいるつもりなら、IT管理をどの程度分離する必要があるかによって異なります。ドメイン管理者は一般的に使用されており、頻繁に使用されますが、IT組織の主要なスタッフにとってもしばしば必要です。単一のドメインとは、この強力なユーザーグループが、そのドメイン内で多数の管理コンソールへのフルアクセスを許可し、会社の両方の部分をカバーすることを意味します。許可されているデフォルトを変更することは、2つの子ドメインを管理するという余分な管理作業よりもさらに面倒です。したがって、管理責任を分割する必要があり、このレベルの制御(会社ごと)が難しい要件になる可能性が高いと思われる場合は、ドメインを分離することをお勧めします。それが決して起こらず、2つのIT組織が調和して機能する場合(良好なコミュニケーションと協調的な変更がここで鍵を制御する)、または1つのIT組織のみが2つの会社を処理/共有できる場合は、1つの会社に固執します。

私は現在、約12の個別のドメイン、地域のITサポート、および60000以上のユーザーが1つのドメインに統合する会社を支援しています。これは、個別にとどまる必要がなく、プロセスが面倒だからです。したがって、初期の決定は適切なものである必要があり、ビジネスが10年または5年で何をするかを常に計画できるわけではありませんが、今、すべてのレベルで質問し、それらの応答を文書化し、十分に準備してください。

1
Chris Williams