如何活动目录域分支机构管理模式规划指南。公司总部以及下属8个加工厂,想重新规划建立性能、可控性良好的域结构,请问是采用“主域——子域”的方式,还是采用同级域的方式呢?

下属加工厂都有自己的IT管理人员,但是公司想对下属工厂IT系统控制的更严格一点,如果采用主域——子域的方式,主域是不是可以定义8个站点,然后对每个站点实施不同的组策略呢?主域——子域的方式是否有对下属子域更好的控制方式呢?
如果采用同级域的方式,担心同级DC之间复制量比较大.请各位说说“想对下属工厂IT系统控制的更严格一点”,该用那种方式呢?说说每种方式的优缺点了,麻烦各位了!!

如果采用“主域—子域”的方式,还有两个问题还不是很清楚,麻烦各位再给我解释一下:
1.主域如何对子域实施组策略?
2.如何对站点实施组策略?

回答:根据我的经验,您可以既可以采用父域和子域的方式来管理,也可以只采用一个域来管理。
如果您想实现集中的控制管理,并且每个工厂不需要自己的域名,建议您只部署一个域。然后通过划分站点的方式来规划站点之间的复制。
如果您想实现每个厂单独管理自己的IT,您可以通过父域和子域的方式来实现,您可以为每个子域设置不同的组策略。

有关域规划的详细信息,请您参考下面的链接:
Windows Server 2003从入门到精通系列之十五:活动目录的设计及部署方法
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032320984&EventCategory=3&culture=zh-CN&CountryCode=CN

根据我的经验,DC之间的复制流量的大小取决您每次修改的数据大小,与采用具体的拓扑方式没有关系。同一个站点内DC之间的复制会比较频繁,缺省情况下每隔5分钟就会复制一次。站点之间的复制间隔要比站点内的要大。

此外,您也可以手动修改这些复制间隔,有关如何修改站点内的复制间隔的详细信息,请您参考下面的链接:
How to Modify the Default Intra-Site Domain Controller Replication Interval
http://support.microsoft.com/kb/214678/zh-cn
 

关如何设置站点间复制的详细信息,请您参考下面的链接:
配置站点间的复制
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/25d40731-e70d-40c8-824b-7df8f9d889c3.mspx

如果采用父域—子域的方式,子域的组策略都保存子域的DC上,不会出现子域在应用组策略的时候每次都到父域的dc上去查找,每个域的组策略只会保存在自己的DC上,站点上的组策略会保存在根域的DC上。您看到文章来自 活动目录管理日志 http://gnaw0725.blog.51cto.com/156601/d-1

根据我的经验,DC之间的复制流量的大小取决您每次修改的数据大小,与采用具体的拓扑方式没有关系。同一个站点内DC之间的复制会比较频繁,缺省情况下每隔5分钟就会复制一次。站点之间的复制间隔要比站点内的要大。

此外,您也可以手动修改这些复制间隔,有关如何修改站点内的复制间隔的详细信息,请您参考下面的链接:
How to Modify the Default Intra-Site Domain Controller Replication Interval
http://support.microsoft.com/kb/214678/zh-cn

有关如何设置站点间复制的详细信息,请您参考下面的链接:
配置站点间的复制
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/25d40731-e70d-40c8-824b-7df8f9d889c3.mspx

如果采用父域—子域的方式,子域的组策略都保存子域的DC上,不会出现子域在应用组策略的时候每次都到父域的dc上去查找,每个域的组策略只会保存在自己的DC上,站点上的组策略会保存在根域的DC上。

组策略只能应用到OU,站点、域上,对于您的第一个问题,父域和子域都有自己缺省的域策略,您可以根据自己的需要分别为父域和子域设置不同的组策略。您还可以为不同的OU创建组策略。

这样可以实现管理上的灵活性,有关如组策略的详细信息,请您参考下面的链接:
组策略高手?完全手册
http://www.microsoft.com/china/technet/webcasts/class/win.mspx
 

将组策略对象链接到站点、域或组织单位
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/b883fb62-02d4-4368-abd3-e6e576865c96.mspx?mfr=true

站点上的组策略:
适用于 Active Directory 站点对象的组策略对象将影响站点中的所有计算机。目录信息可以在站点中的所有域控制器之间复制和使用,并且可复制到已建立站点链接的站点中的任意域控制器。因此,链接到站点的任意组策略对象都适用于该站点中的所有计算机,而不管计算机属于哪个域(在林中)。

尽管组策略对象只作为单独域上的存储实体而存在,并且当受影响的客户端读取与站点链接的组策略时必须从该域读取,但是它允许林中的多个域接收同一个组策略对象(以及对象中所包括的策略)。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

如果子域是通过广域网 (WAN) 边界进行设置的,则站点设置应当考虑这一点。如果不是的话,子域中的计算机将通过 WAN 链接访问与站点链接的组策略对象。这将增加组策略的处理时间。

有关站点上的组策略详细信息,请您参考下面的链接:
站点上的组策略
http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/bc0d5b94-30c0-4f88-a56f-b32c36663bc52052.mspx?mfr=true

望正茂 在线技术支持工程师 微软全球技术支持中心

如果用一个域,那么所有站点都是使用一个域策略,而且通常这个域管理员也是公司总部的管理员,不会将域管理员的权限下放给分公司。这样的管理就是紧密型的,也就是你说的“想对下属工厂IT系统控制的更严格一点”。

如果用父域子域结构,那么每个分公司的IT人员可以建立自己的子域,拥有自己独立的域策略。父域管理员仅能管理子域的域控制器,而不能直接管理子域的计算机。这样的管理就是松散型的。

所以采用哪个结构,通常的一个准则,就是看分公司是否需要自己独立的域策略。
至于站点,为了降低复制开销,自然是要创建的。

活动目录管理域分支机构规划指南的相关文章请参考
无法管理活动目录域计算机
远程管理活动目录计算机的服务或端口
活动目录远程管理工具
win7如何管理活动目录

活动目录管理域分支机构规划指南
活动目录域管理
活动目录管理的四个复杂性
WindowsAD域活动目录管理
---gnaw0725