问:对于企业是AD的规划是单林单域好还是多林多域好?
答: 对AD的规划外资企业与非外资企业规划的区别是非常大的,在外资企业当中(含跨国外企与港台企)一般至少有两个以上的林,国外一个林,国内一个林,一个或一个以上域,有些外企则把中国划分多个区域,每个区域为一个子域,数据中心部署父域(父域一般很少或不建立其它账户)及重要子域的额外域,外企对AD的安全性要求非常高(顺便提到两个概念:林是安全的边界,域是管理的边界,外企这样规划是有一定道理)。而国内企业为了减小管理的复杂度多数为一个域一个林,通过站点来管理各分支机构DC。二者各有所长,至于取决于哪种架构,个人认为最好结合企业的管理模式,比如某个集团下属有多个公司,各公司关联性不强,有各自的IT管理,建议采用多林或多域等。
至于部门,当然以OU的划分为主,也有些公司把子公司作为一个OU,这在国内也十分常见。关于有些人讨论是用工作组还是用AD,当然条件允许用AD最好,条件不允许只能用工作组,或者采用瘦客户端方式管理没有VPN连接的异地分支机构,在这一领域VDI是一个不错的选择。
利用VDI+AD可以有效对本地及异地分支机构进行集中管理,以上只是我个人的看法,欢迎对企业AD规划与设计感兴趣的朋友也可以私下大家一起进行讨论。