Pregunta ¿Cuándo deberías crear un dominio adicional en el bosque?


Mi empresa está abriendo un nuevo sitio en un país diferente. Instalaremos nuevos servidores allí y tengo una pregunta que no puedo decidir. ¿Deberíamos crear un nuevo dominio en el bosque o deberíamos usar el mismo dominio e implementar un nuevo controlador de dominio, posiblemente y RODC?

Las dos empresas están separadas, pero colaboran estrechamente. También administramos TI para ambos, pero no puedo excluir que puedan tener un TI propio cuando crezcan. Accedemos a recursos compartidos de red comunes y podríamos usar recursos ubicados en ambas compañías. Además, algunos de nuestros usuarios a menudo viajan de una compañía a otra.

Las ventajas que veo en un nuevo dominio están relacionadas principalmente con una organización más ordenada, una mejor administración en caso de un departamento dedicado y al mismo tiempo conservan las ventajas de usar GPO del bosque. Establecí un fideicomiso para permitir a los usuarios acceder a datos en diferentes dominios.

Las únicas desventajas que veo pueden ser la necesidad de agregar grupos de usuarios en algunos casos y posiblemente algún tipo de problema con el software basado en AD si no se configura correctamente. No tengo experiencia con esto, así que me gustaría escuchar su opinión al respecto y tal vez ayudarme a averiguar dónde podrían surgir los problemas.


6
2018-01-20 19:56


origen


Usted escribe que "Mi compañía está abriendo un nuevo sitio en un país diferente", pero luego afirma que "Las dos compañías están separadas, pero colaboran estrechamente". - Bueno, ¿cuál es? La organización, lógicamente y legalmente, así como las perspectivas de su futuro podrían (o deberían) ser potencialmente un factor decisivo a la hora de planificar y diseñar su implementación de Active Directory - Mathias R. Jessen
Pasé por algo similar para mi organización. Compramos una empresa competidora. Pero mantuvieron su marca intacta. En este caso, construyo un dominio separado en el mismo bosque. Esto fue porque queríamos mantener la distinción entre las marcas. Parecía bastante tonto que un empleado de CompanyA inicia sesión en el dominio CompanyB, que hereda las políticas de escritorio de CompanyB ...
Todo lo cual podría manejarse en un entorno de dominio único con GPO vinculados a unidades organizativas (o sitios) y sufijos UPN adicionales. - Evan Anderson
el nuevo sitio necesitará al menos un DC grabable, y un segundo DC que también podría ser escribible. - BeowulfNode42
Son legalmente dos empresas separadas, que forman parte de una participación. Nosotros, como una empresa más grande, proporcionamos algunos de los servicios que, a su vez, se facturan a la más pequeña. No hay problema desde esta perspectiva. - Mateusz Kapusta


Respuestas:


Crear otro dominio agrega complejidad. En la medida en que pueda mantener un entorno de dominio único, limitará la complejidad. Me parece que las actividades administrativas son más fáciles en un entorno de dominio único.

La organización visual ("una organización más ordenada") se podría lograr con otras características, como las unidades organizativas (OU) en Active Directory. Personalmente, no consideraría una razón tan "ordenada" como para crear un segundo dominio.

Casi cualquier escenario de delegación de control que pueda imaginar en un entorno de múltiples dominios puede manejarse en un solo dominio delegando el control en una OU.

Desde la perspectiva de la eficiencia de inicio de sesión, tiene sentido tener computadoras con controlador de dominio (DC) en una ubicación para los dominios que se usarán en esa ubicación. Si va a tener usuarios viajando entre ubicaciones, necesitará más CD (uno para cada dominio, como mínimo) si tiene un entorno de múltiples dominios.

Los objetos de política de grupo (GPO) entre bosques han sido, en mi opinión, algo escamosos. Necesitará un controlador de dominio del dominio donde un GPO se aloja bien conectado a las máquinas que aplican los GPO de ese dominio. Eso también puede hacer que necesite más controladores de dominio en un entorno de varios dominios en comparación con un solo dominio.

Mi opinión es que un entorno de múltiples dominios solo es necesario cuando se requieren varias políticas de contraseña de nivel de dominio (y no se puede usar una política de contraseña específica dentro de un solo dominio por alguna razón técnica), o cuando el tráfico de replicación del dominio sería tan extremo como para justificar el aislamiento para limitar el tráfico de replicación.

Editar:

Si realmente necesita una separación legal o organizativa, entonces la única manera de proceder es un bosque separado para la otra compañía. Los dominios separados en el mismo bosque no ofrecen una separación práctica, además de particionar la replicación del Directorio.


12
2018-01-20 20:11



¿Qué tan difícil sería entonces (de ser posible) "dividir" las unidades organizativas en dos bosques separados? Digamos que nuestro holding vende la segunda compañía a otra persona y necesitamos hacer dos bosques separados, ¿hay alguna forma de hacerlo? - Mateusz Kapusta
@MateuszKapusta: La herramienta de migración de Active Directory (ADMT) (technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx) te permitirá mover cuentas entre AD Forests. Esa herramienta suele ser la que se usaría en los escenarios de desinversión. - Evan Anderson


A medida que su pregunta se plantea actualmente, me parece que podría obtener tanto kilometraje de configurar un nuevo sitio en Active Directory como lo haría con un nuevo dominio. Crearía un nuevo controlador de dominio en la nueva ubicación física, pero en el mismo dominio y bosque, y lo configuraría para servir el nuevo sitio en cuestión (a través de la herramienta de administración de Sitios y Servicios de Active Directory).

Claro que sin Una aclaración sobre el comentario de Mathias., No me siento cómodo diciendo eso con certeza. Si estas son realmente dos compañías diferentes, probablemente debería tener un bosque para cada compañía, incluso si colaboran estrechamente. Unirlos a un bosque de AD podría tener implicaciones legales o de cumplimiento indeseables que podrían superar la ventaja de la simple administración de Active Directory. Y luego está la pregunta de qué sucede cuando / si estas dos compañías van por caminos separados. ¿Quién es el "propietario" del bosque existente, cómo realiza la separación adecuada, quién paga por ese trabajo y quién paga para establecer un nuevo bosque para la empresa que ahora no tiene uno?

Los servicios federados existen precisamente para permitir la interacción entre los bosques de las empresas y el uso cruzado de los recursos en esos bosques diferentes, de modo que las organizaciones separadas no necesitan compartir el mismo bosque para trabajar juntos. Es una configuración más complicada y más para administrar, pero si realmente hay dos compañías en juego, es la configuración que recomendaría: dos bosques separados que usan servicios federados para conectarse entre sí. Menos molestias, problemas y políticas involucradas cuando cada organización posee su propio bosque y se conectan entre sí mediante servicios federados, y no se preocupa por lo que suceda después de que finalice la colaboración.


6
2018-01-20 20:34





Parece que la mayoría de sus preguntas deben dirigirse a un nivel comercial en lugar de técnico. En primer lugar, si el negocio pretende hacer crecer la segunda empresa y luego separarse cuando crezcan, un dominio separado podría ser útil en ese escenario para ayudarlos a dividirse.

A menos que tenga requisitos de seguridad estrictos, nunca use un RODC, son solo otra sobrecarga administrativa y no vale la pena molestarse en casi todos los escenarios. Grande en teoría, doloroso en la práctica. Al menos, trabaje y entienda en qué se está metiendo antes de hacerlo de todos modos.

Si las compañías pretenden permanecer juntas, dependerá de la separación que deba tener la administración de TI. Un administrador de dominio es un uso común, a menudo usado en exceso, pero también a menudo es necesario para el personal clave de la organización de TI. Un solo dominio significa que este poderoso grupo de usuarios permitirá el acceso completo dentro de ese dominio a una gran cantidad de consolas de administración y cubrirá ambas partes de la empresa. Cambiar los valores predeterminados donde está permitido puede ser incluso más complicado que el esfuerzo de administración adicional de administrar 2 dominios secundarios. Entonces, si cree que habrá un requisito para dividir la responsabilidad administrativa y es probable que este nivel de control (por empresa) se convierta en un requisito difícil, entonces los dominios separados son la forma. Si eso nunca sucederá y 2 organizaciones de TI pueden funcionar en armonía (la buena comunicación y el cambio colaborativo controlan la clave aquí), o solo 1 organización de TI puede manejar / compartir las 2 compañías y luego adherirse a una.

Actualmente estoy ayudando a una compañía con alrededor de 12 dominios separados, soporte regional de TI y más de 60000 usuarios a consolidarse en un solo dominio de nuevo porque no tienen la necesidad de permanecer separados y es un proceso doloroso. Por lo tanto, las decisiones tempranas deben ser las correctas y, si bien no siempre puede planificar lo que la empresa podría hacer dentro de 10 o incluso 5 años, haga preguntas en todos los niveles ahora, documente sus respuestas y prepare bien.


1
2017-10-19 07:57