使用组织域林模型
在组织域森模型中,几个自治组各自拥有林中的一个域。 每个组控制域级服务管理,这使他们能够自主管理服务管理的某些方面,而林所有者控制林级服务管理。
下图显示了一个组织域林模型。
域级服务自治
组织域林模型支持域级服务管理的授权委派。 下表列出了可以在域级别控制的服务管理类型。
| 服务管理类型 | 关联的任务 |
|---|---|
| 域控制器操作的管理 | - 创建和删除域控制器 - 监视域控制器的运行 - 管理域控制器上运行的服务 - 备份和恢复目录 |
| 域范围设置的配置 | -创建域和域用户帐户策略,如密码、Kerberos 和帐户锁定策略 - 创建和应用全域组策略 |
| 数据级管理授权 | - 创建组织单位 (OU) 和委派管理 - 修复 OU 结构中 OU 所有者没有足够访问权限来修复的问题 |
| 外部信任管理 | - 与林外的域建立信任关系 |
其他类型的服务管理(如架构或复制拓扑管理)由林所有者负责。
域所有者
在组织域林模型中,域所有者负责域级服务管理任务。 域所有者拥有对整个域的权限以及对林中所有其他域的访问权限。 因此,域所有者必须是林所有者选择的受信任的个人。
如果满足以下条件,则将域级服务管理委派给域所有者:
参与目录林的所有组都信任新域所有者和新域的服务管理实践。
新域所有者信任目录林所有者和所有其他域所有者。
林中的所有域所有者都同意新的域所有者具有与其相同或比其更严格的服务管理员管理和选择策略和做法。
林中的所有域所有者同意新域中由新域所有者管理的域控制器在物理上是安全的。
请注意,如果林所有者将域级服务管理委派给域所有者,则其他组如果不信任该域所有者,则可能选择不加入该林。
所有域所有者必须意识到,如果将来这些条件中的任何一个发生变化,则可能有必要将组织域移动到多林部署中。
注意
要将 Windows Server 2008 Active Directory 域的安全风险降至最低,另一种方法是采用管理员角色分离,这需要在 Active Directory 基础架构中部署只读域控制器 (RODC)。 RODC 是 Windows Server 2008 操作系统中的一种新型域控制器,用于托管 Active Directory 数据库的只读分区。 在 Windows Server 2008 发布之前,域控制器上的任何服务器维护工作都必须由域管理员执行。 在 Windows Server 2008 中,你可以将 RODC 的本地管理权限委派给任何域用户,而无需向该用户授予域或其他域控制器的任何管理权限。 这允许委派的用户登录到 RODC 并在服务器上执行维护工作,如升级驱动程序。 但是,此委派用户不能登录到任何其他域控制器或在域中执行任何其他管理任务。 通过这种方式,任何受信任的用户都可以获得有效管理 RODC 的能力,而不会影响域中其他部分的安全性。 有关 RODC 的详细信息,请参阅 AD DS:只读域控制器。