Determinando o número de florestas necessárias

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para determinar o número de florestas que deve implantar, é necessário identificar e avaliar cuidadosamente os requisitos de isolamento e autonomia para cada grupo em sua organização e mapear esses requisitos para os modelos de design de floresta apropriados.

Ao determinar o número de florestas a serem implantadas para sua organização, considere o seguinte:

• Os requisitos de isolamento limitam suas opções de design. Portanto, caso identifique os requisitos de isolamento, verifique se os grupos realmente exigem isolamento de dados e se a autonomia dos dados não é suficiente para suas necessidades. Verifique se os vários grupos em sua organização entendem claramente os conceitos de isolamento e autonomia.

• Negociar o design pode ser um processo longo. Pode ser difícil para os grupos chegar a um acordo sobre propriedade e usos para recursos disponíveis. Permita tempo suficiente para que os grupos em sua organização realizem pesquisas adequadas para identificar suas necessidades. Defina prazos firmes para decisões de design e obtenha consenso de todas as partes sobre os prazos estabelecidos.

• Determinar o número de florestas a serem implantadas envolve o balanceamento de custos em relação aos benefícios. Um modelo de floresta única é a opção mais econômica e requer a menor quantidade de sobrecarga administrativa. Embora um grupo na organização possa preferir operações de serviço autônomo, pode ser mais econômico para a organização assinar a entrega de serviços de um grupo centralizado e confiável de TI (tecnologia da informação). Isso permite que o grupo possua o gerenciamento de dados sem criar os custos adicionais de gerenciamento de serviços. O balanceamento de custos em relação aos benefícios pode exigir a entrada do patrocinador executivo.

  Uma única floresta é a configuração mais fácil de gerenciar. Ele permite a colaboração máxima dentro do ambiente porque:

  • Todos os objetos em uma única floresta são listados no catálogo global. Portanto, nenhuma sincronização entre florestas é necessária.

  • O gerenciamento de uma infraestrutura duplicada não é necessário.

• Não é recomendável a copropriedade de uma única floresta por duas organizações de TI separadas e autônomas. No futuro, as metas dos dois grupos de TI podem mudar, para que eles não possam mais aceitar o controle compartilhado.

• Não é recomendável terceirizar a administração do serviço para mais de um parceiro externo. Organizações multinacionais que têm grupos em diferentes países ou regiões podem optar por terceirizar a administração de serviços para um parceiro externo diferente para cada país ou região. Como vários parceiros externos não podem ser isolados uns dos outros, as ações de um parceiro podem afetar o serviço do outro, o que dificulta a responsabilização dos parceiros por seus contratos de nível de serviço.

• Somente uma instância de um domínio do Active Directory deve existir a qualquer momento. A Microsoft não dá suporte à clonagem, divisão ou cópia de controladores de domínio de um domínio na tentativa de estabelecer uma segunda instância do mesmo domínio. Para obter mais informações sobre essa limitação, confira a seção a seguir.

Limitações de reestruturação

Quando uma empresa adquire outra empresa, unidade de negócios ou linha de produto, a empresa compradora também pode querer adquirir ativos de TI correspondentes do vendedor. Especificamente, o comprador pode querer adquirir alguns ou todos os controladores de domínio que hospedam as contas de usuário, contas de computador e grupos de segurança que correspondem aos ativos de negócios que devem ser adquiridos. Os únicos métodos com suporte para o comprador adquirir os ativos de TI armazenados na floresta do Active Directory do vendedor são os seguintes:

1. Adquira a única instância da floresta, incluindo todos os controladores de domínio e dados de diretório em toda a floresta do vendedor.

2. Migre os dados de diretório necessários da floresta ou domínios do vendedor para um ou mais domínios do comprador. O destino para essa migração pode ser uma floresta totalmente nova ou um ou mais domínios existentes que já estão implantados na floresta do comprador.

Essa limitação de suporte existe porque:

• Cada domínio em uma floresta do Active Directory recebe uma identidade exclusiva durante a criação da floresta. Copiar controladores de domínio de um domínio original para um domínio clonado compromete a segurança dos domínios e da floresta. As ameaças ao domínio original e ao domínio clonado incluem o seguinte:

  • Compartilhamento de senhas que podem ser usadas para obter acesso aos recursos

  • Insights sobre contas e grupos de usuários privilegiados

  • Mapeamento de endereços IP para nomes de computador

  • Adições, exclusões e modificações de informações de diretório se os controladores de domínio em um domínio clonado estabelecerem conectividade de rede com controladores de domínio do domínio original

• Domínios clonados compartilham uma identidade de segurança comum, portanto, as relações de confiança não podem ser estabelecidas entre elas, mesmo que um ou ambos os domínios tenham sido renomeados.

Nesta seção

• Modelos de design de floresta

• Como mapear requisitos de design para modelos de design de floresta

• Como usar o modelo de floresta de domínio organizacional