Active Directory 도메인 서비스 란 무엇이며 어떻게 작동합니까?

참고 :이 답변은 포리스트, 자식 도메인, 트리, 사이트 및 OU의 차이점에 대한 다른 질문에서이 질문으로 병합되었습니다. 이것은 원래이 특정 질문에 대한 답변으로 작성된 것이 아닙니다.

숲

보안 경계가 필요할 때 새 포리스트를 만들려고합니다. 예를 들어 AD로 관리하려는 주변 네트워크 (DMZ)가있을 수 있지만 보안상의 이유로 주변 네트워크에서 내부 AD를 사용하지 않으려는 경우가 있습니다. 이 경우 해당 보안 영역에 대한 새 포리스트를 만들려고합니다. 서로를 신뢰하지 않는 여러 엔터티 (예 : 독립적으로 운영되는 개별 비즈니스를 포괄하는 셸 회사)가있는 경우 이러한 분리를 원할 수도 있습니다. 이 경우 각 엔터티에 고유 한 포리스트가 있어야합니다.

자식 도메인

실제로는 더 이상 필요하지 않습니다. 자식 도메인을 원하는 좋은 예는 거의 없습니다. 레거시 이유는 서로 다른 암호 정책 요구 사항으로 인한 것이지만 Server 2008부터 사용할 수있는 세밀한 암호 정책이 있으므로 더 이상 유효하지 않습니다. 네트워크 연결 상태가 매우 좋지 않은 지역이 있고 원하는 경우 자식 도메인 만 있으면됩니다. 위성 WAN 연결성이 좋은 유람선이있는 유람선)-복제 트래픽을 대폭 줄입니다.이 경우 각 유람선은 자체 자식 도메인이 될 수 있습니다. 같은 회사의 다른 도메인과 동일한 포리스트에 있다는 이점을 여전히 활용할 수 있습니다.

나무

이것은 이상한 공입니다. 새 포리스트는 단일 포리스트의 관리 이점을 유지하면서 새 DNS 네임 스페이스에 도메인을 보유하려는 경우에 사용됩니다. 예를 들어 corp.example.com은 (는) 포리스트 루트 일 수 있지만 ad.mdmarra.com 같은 나무에서 새 나무를 사용합니다. 하위 도메인에 대한 동일한 규칙 및 권장 사항이 여기에 적용됩니다. 현대 AD에서는 일반적으로 필요하지 않습니다.

대지

사이트는 네트워크의 물리적 또는 논리적 경계를 나타내야합니다. 예를 들어 지점. 사이트는 다른 영역의 도메인 컨트롤러에 대한 복제 파트너를 지능적으로 선택하는 데 사용됩니다. 사이트를 정의하지 않으면 모든 DC는 마치 동일한 물리적 위치에있는 것처럼 취급되고 메시 토폴로지에서 복제됩니다. 실제로 대부분의 조직은 논리적으로 허브 앤 스포크로 구성되므로이를 반영하도록 사이트와 서비스를 구성해야합니다.

다른 응용 프로그램도 사이트 및 서비스를 사용합니다. DFS는이를 네임 스페이스 조회 및 복제 파트너 선택에 사용합니다. Exchange와 Outlook은이를 사용하여 쿼리 할 "가장 가까운"글로벌 카탈로그를 찾습니다. 도메인 가입 컴퓨터는이를 사용하여 인증 할 "가장 가까운"DC를 찾습니다. 이것이 없으면 복제 및 인증 트래픽은 Wild West와 같습니다.

조직 단위

이들은 조직의 권한 위임 및 그룹 정책 적용 필요성을 반영하는 방식으로 작성해야합니다. 많은 조직은 GPO 그런 식으로 적용하기 때문에 사이트 당 하나의 OU를가집니다. 이는 다음과 같이 사이트 및 서비스의 사이트에 GPO를 적용 할 수 있기 때문에 어리 석습니다) 다른 조직은 부서 또는 기능별로 OU를 분리하지만 많은 사람들에게 합리적이지만 실제로 OU 디자인은 사용자의 요구를 충족해야하며 다소 융통성이 있습니다.

다국적 기업의 최상위 OU가 North America, Europe, Asia, South America, Africa 대륙에 따라 관리 권한을 위임 할 수 있습니다. 다른 조직의 최상위 OU는 Human Resources, Accounting, Sales 등이 더 의미가있는 경우 다른 조직은 최소한의 정책 요구를 가지고 있으며 Employee Users 및 Employee Computers. 여기에는 정답이 없으며 회사의 요구를 충족시키는 것입니다.