Единый лес, каждый регион — дочерний домен центрального домена

Единый лес, административный корневой домен, каждый регион — домен

Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации;
• повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• путь доверия длиннее.

В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации; повышенная защищенность — аутентификация по протоколу Kerberos;
• сокращение количества компьютеров — контроллеров домена из-за отсутствия корневого «пустого» домена.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
• структурное подчинение регионов;
• путь доверия длиннее.