Examen des modèles de domaine
Les facteurs suivants ont un impact sur le modèle de conception de domaine que vous sélectionnez :
Quantité de capacité disponible sur votre réseau que vous êtes prêt à allouer à Active Directory Domain Services (AD DS). L’objectif est de sélectionner un modèle qui fournit une réplication efficace des informations avec un impact minimal sur la bande passante réseau disponible.
Nombre d’utilisateurs dans votre organisation. Si votre organisation inclut un grand nombre d’utilisateurs, le déploiement de plusieurs domaines vous permet de partitionner vos données et vous donne plus de contrôle sur la quantité de trafic de réplication qui transite par une connexion réseau donnée. Cela vous permet de contrôler l’endroit où les données sont répliquées et de réduire la charge créée par le trafic de réplication sur les liaisons lentes dans votre réseau.
La conception de domaine la plus simple est un domaine unique. Dans une conception de domaine unique, toutes les informations sont répliquées sur tous les contrôleurs de domaine. Toutefois, si nécessaire, vous pouvez déployer des domaines régionaux supplémentaires. Cela peut se produire si des parties de l’infrastructure réseau sont connectées par des liaisons lentes et que le propriétaire de la forêt souhaite s’assurer que le trafic de réplication ne dépasse pas la capacité qui a été allouée à AD DS.
Il est préférable de réduire le nombre de domaines que vous déployez dans votre forêt. Cela réduit la complexité globale du déploiement et, par conséquent, le coût total de possession. Le tableau suivant répertorie les coûts administratifs associés à l’ajout de domaines régionaux.
| Coût | Implications |
|---|---|
| Gestion de plusieurs groupes d’administrateurs de services | Chaque domaine a ses propres groupes d’administrateurs de service qui doivent être gérés indépendamment. L’appartenance à ces groupes d’administrateurs de service doit être contrôlée avec soin. |
| Maintien de la cohérence entre les paramètres stratégie de groupe communs à plusieurs domaines | Les paramètres de stratégie de groupe qui doivent être appliqués à l’échelle de la forêt doivent être appliqués séparément à chaque domaine individuel de la forêt. |
| Maintien de la cohérence entre les paramètres de contrôle d’accès et d’audit communs à plusieurs domaines | Les paramètres de contrôle d’accès et d’audit qui doivent être appliqués dans la forêt doivent être appliqués séparément à chaque domaine individuel de la forêt. |
| Augmentation de la probabilité que les objets se déplacent d’un domaine à l’autre | Plus le nombre de domaines est élevé, plus il est probable que les utilisateurs devront passer d’un domaine à un autre. Ce déplacement peut avoir un impact sur les utilisateurs finaux. |
Notes
Les stratégies de mot de passe et de verrouillage de compte affinées de Windows Server peuvent également avoir un impact sur le modèle de conception de domaine que vous sélectionnez. Avant cette version de Windows Server 2008, vous ne pouviez appliquer qu’une seule stratégie de mot de passe et de verrouillage de compte, qui est spécifiée dans la stratégie de domaine par défaut du domaine, à tous les utilisateurs du domaine. Par conséquent, si vous vouliez disposer de paramètres différents pour mot de passe et verrouillage de compte pour des ensembles d’utilisateurs différents, vous deviez créer un filtre de mot de passe ou déployer plusieurs domaines. Désormais, vous pouvez utiliser des stratégies de mot de passe affinées pour spécifier plusieurs stratégies de mot de passe et pour appliquer des restrictions différentes pour les stratégies de mot de passe et de verrouillage de compte à des ensembles d’utilisateurs différents dans un seul domaine. Pour plus d’informations sur les stratégies de mot de passe et de verrouillage de compte affinées, consultez l’article Guide pas à pas de la stratégie de mot de passe et de verrouillage de compte affinée AD DS.
Modèle de domaine unique
Un modèle de domaine unique est le plus facile à administrer et le moins coûteux à gérer. Il se compose d’une forêt qui contient un seul domaine. Ce domaine est le domaine racine de la forêt et contient tous les comptes d’utilisateur et de groupe dans la forêt.
Un modèle de forêt de domaine unique réduit la complexité administrative en offrant les avantages suivants :
N’importe quel contrôleur de domaine peut authentifier n’importe quel utilisateur dans la forêt.
Tous les contrôleurs de domaine pouvant être des catalogues globaux, vous n’avez pas besoin de planifier le placement du serveur de catalogue global.
Dans une forêt de domaine unique, toutes les données d’annuaire sont répliquées vers tous les emplacements géographiques qui hébergent les contrôleurs de domaine. Bien que ce modèle soit le plus facile à gérer, il crée également le trafic de réplication le plus important des deux modèles de domaine. Le partitionnement du répertoire en plusieurs domaines limite la réplication des objets vers des régions géographiques spécifiques, mais entraîne une surcharge administrative plus importante.
Modèle de domaine régional
Toutes les données d’objet au sein d’un domaine sont répliquées sur tous les contrôleurs de domaine de ce domaine. Pour cette raison, si votre forêt comprend un grand nombre d’utilisateurs répartis sur différents emplacements géographiques connectés par un réseau étendu (WAN), vous devrez peut-être déployer des domaines régionaux pour réduire le trafic de réplication sur les liaisons WAN. Les domaines régionaux basés sur une zone géographique peuvent être organisés en fonction de la connectivité réseau WAN.
Le modèle de domaine régional vous permet de maintenir un environnement stable au fil du temps. Basez les régions utilisées pour définir des domaines dans votre modèle sur des éléments stables, tels que des limites continentales. Les domaines basés sur d’autres facteurs, tels que les groupes au sein de l’organisation, peuvent changer fréquemment et peuvent vous obliger à restructurer votre environnement.
Le modèle de domaine régional se compose d’un domaine racine de forêt et d’un ou plusieurs domaines régionaux. La création d’une conception de modèle de domaine régional implique d’identifier le domaine racine de la forêt et de déterminer le nombre de domaines supplémentaires requis pour répondre à vos exigences de réplication. Si votre organisation inclut des groupes qui nécessitent une isolation des données ou une isolation de service par rapport à d’autres groupes de l’organisation, créez une forêt distincte pour ces groupes. Les domaines ne fournissent pas d’isolation des données ou d’isolation de service.