Единый лес, административный корневой домен, каждый регион — домен
Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.
Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации;
- повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- путь доверия длиннее.
В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.
Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации; повышенная защищенность — аутентификация по протоколу Kerberos;
- сокращение количества компьютеров — контроллеров домена из-за отсутствия корневого «пустого» домена.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
- структурное подчинение регионов;
- путь доверия длиннее.