1. 域和林的概念
- 林(Forest):AD 的逻辑边界,包含一个或多个域共享同一架构和配置
- 域(Domain):AD 的逻辑分组,用于管理用户、计算机和组织单位
- 信任(Trust):域之间的身份验证通道
- 全局编录(GC):包含林中所有对象的只读副本
2. 单林多域部署
适用于同一法人主体下的多业务单元,统一管理但业务隔离。
PowerShell - 部署子域
# 在现有 DC 上安装子域
Install-ADDomain -DomainName "sz.iehang.cn" `
-ParentDomainName "iehang.cn" `
-DomainMode "WinThreshold" `
-InstallDNS $true
# 验证信任关系
Get-ADTrust -Filter { $_.Target -match "iehang" }3. 资源林模式
资源林只包含计算机和共享资源,不建立用户账号。
PowerShell - 创建资源林
# 安装新域作为资源域
Install-ADDomain -DomainName "resource.iehang.cn" `
-DomainMode "WinThreshold" `
-NewDomainNetBIOSName "RESOURCE"
# 在资源林中创建一个只读域控制器(RODC)
Install-ADDSDomainController `
-DomainName "resource.iehang.cn" `
-ReadOnlyReplica $true4. 账户林模式
账户林只负责身份验证,资源在其他林中管理。
💡 账户林适用场景
- 大型组织中分离用户账号管理
- 合规要求严格的组织中隔离敏感身份数据
- 历史遗留系统需要独立账户管理
5. 常见问题
Q1:单林多域 vs 多林,如何选择
同一法人主体优先使用单林多域;独立法人或需要严格安全隔离时使用多林。
Q2:子域的 DC 可以是 RODC 吗
可以。分支办公室适合部署 RODC,节省带宽并提高安全性。