选择是将 HGS 安装在其自己的专用林中还是安装在现有 Bastion 林中

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

HGS 的 Active Directory 林很敏感，因为其管理员有权访问控制受防护的 VM 的密钥。 默认安装将设置专用于 HGS 的新林并配置其他依赖项。 建议使用此选项，因为该环境是自包含的，并且已知在创建时是安全的。

在现有林中安装 HGS 的唯一技术要求是将其添加到根域；不支持非根域。 但是，使用现有林也有操作要求和安全相关的最佳做法。 请专门构建合适的林来为敏感功能提供服务，例如 AD DS 的 Privileged Access Management 使用的林或增强的安全管理环境 (ESAE) 林。 此类林通常具有以下特征：

• 它们有几个管理员（与结构管理员分开）
• 它们的登录次数较少
• 它们本质上不用于常规用途

常规用途林（例如生产林）不适合由 HGS 使用。 结构林也不适用，因为 HGS 需要与构造管理员隔离。

后续步骤

请选择最适合你的环境的安装选项：

• 将 HGS 安装在其自己的专用林中
• 将 HGS 安装在现有 Bastion 林中