決定所需的樹系數目
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
若要判斷您必須部署的樹係數目,您必須仔細識別和評估貴組織中每個群組的隔離和自主性需求,並將這些需求對應至適當的樹系設計模型。
判斷要為組織部署的樹系數目時,請考慮如下事項:
隔離需求會限制您的設計選擇。 因此如果您是識別隔離需求,請確定群組確實需要資料隔離,且資料自主性不足以滿足其需求。 請確定貴組織中的各種群組都清楚理解隔離與自主性的概念。
交涉設計可能會是冗長的過程。 群組對於所有權以及可用資源的使用可能很難達成共識。 請確保貴組織中的群組有足夠的時間進行適切的研究以識別其需求。 針對設計決策設定堅定的期限,並對既定的期限取得各方的一致同意。
判斷要部署的樹系數目涉及成本與權益間的平衡。 單一樹系模型是最符合成本效益的選項,而且需要最少量的系統管理額外負荷。 雖然組織中的群組可能較喜好自發服務作業,但讓組織訂閱來自集中式且受信任資訊技術 (IT) 群組傳送的服務可能會更符合成本效益。 這可讓群組擁有資料管理,而不需增加額外的服務管理成本。 成本與權益間的平衡可能需要執行發起人的意見。
單一樹系是最容易管理的組態。 它允許在環境中進行最大的共同作業,因為:
單一樹系中的所有物件都會列在通用類別目錄中。 因此不需要跨樹系進行同步處理。
不需管理重複的基礎結構。
我們不建議由兩個個別且自主的 IT 組織對單一樹系具備共同所有權。 未來兩個 IT 群組的目標可能會改變,因此無法再接受共用控制項。
我們不建議將服務管理外包給一名以上的外部合作夥伴。 擁有不同國家或地區之群組的跨國組織可能會選擇將服務管理外包給個別國家/地區的不同外部合作夥伴。 由於多個外部合作夥伴無法彼此隔離,因此一名合作夥伴的動作可能會影響另一名合作夥伴的服務,而很難讓合作夥伴對其服務等級協定負責。
應隨時存在只有一個 Active Directory 網域的執行個體。 Microsoft 不支援從一個網域複製、分割或複製網域控制站,以嘗試建立相同網域的第二個執行個體。 如需此限制的詳細資訊,請參閱下節。
重組限制
當公司收購另一家公司、業務單位或產品線時,購買公司可能也要考慮從賣方買入對應的 IT 資產。 具體來說,買方可能希望收購部分或全部網域控制站,這些控制站是裝載要取得之業務資產相對應的使用者帳戶、電腦帳戶和安全群組。 買方取得儲存在賣方 Active Directory 樹系中 IT 資產的唯一支援方法如下:
取得樹系的唯一執行個體,包括賣方整個樹系中的所有網域控制站和目錄資料。
將所需的目錄資料從賣方的樹系或網域移轉至一或多個買方的網域中。 這類移轉的目標可能是全新的樹系,或已部署在買方樹系中的一或多個現有網域。
此支援限制存在,因為:
Active Directory 樹系中的每個網域都會在樹系建立期間獲指派不重複的身分識別。 將網域控制站從原始網域複製到複製網域會危害網域和樹系兩者的安全性。 對原始網域和複製網域的威脅包括如下:
共用可用來存取資源的密碼
關於特殊權限使用者帳戶和群組的深入解析
將 IP 位址對應到電腦名稱
如果複製網域中的網域控制站與原始網域中的網域控制站曾建立網路連線,則請新增、刪除和修改目錄資訊
複製網域間會共用常用的安全性身分識別;因此即使已重新命名一或兩個網域,也無法在兩者之間建立信任關係。