1. 为什么需要集团架构
当企业拥有多个子公司、分公司或业务单元时,需要统一的 IT 架构来实现:
- 统一身份管理:员工一套账号登录所有授权系统
- 集中资源管控:总部统一管理核心应用和数据
- 安全边界清晰:各子公司独立管理本地安全策略
- 审计合规统一:满足多地区法规要求的集中审计
2. 多域林架构模式
| 架构模式 | 特点 | 适用场景 |
|---|---|---|
| 单林多域 | 一个林,多个域,互相信任 | 同一法人主体下的多业务单元 |
| 多林多公司 | 多个林,跨林信任或同步 | 独立法人主体的子公司 |
| 资源林 | 专用资源域,不建用户 | 集中管理文件和应用 |
| 账户林 | 只有账户,不建资源 | 纯身份提供林 |
3. 典型应用场景
💡 典型场景
- 场景 A: 母公司统一管理全部 AD,子公司使用子域
- 场景 B: 每个子公司独立林,通过跨林信任访问共享资源
- 场景 C: 混合模式——核心业务集中,用户域分布部署
- 场景 D: 云端 Azure AD 与本地 AD 混合部署
4. 爱依航集团架构示例
爱依航集团架构示例
# 域名规划
iehang.cn (集团根域)
├─ sz.iehang.cn (深圳子公司)
├─ qd.iehang.cn (青岛子公司)
├─ jn.iehang.cn (济南子公司)
└─ resource.iehang.cn (资源域,集中管理共享资源)
# DNS 命名空间
iehang.cn (DNS 区域根)
├─ sz.iehang.cn
├─ qd.iehang.cn
├─ jn.iehang.cn
└─ resource.iehang.cn
# OU 结构
iehang.cn (根域)
├─ IT信息部 (集中管理)
├─ 集团总部
│ └─ 财务部
│ └─ 销售部
└─ 各子公司OUNetBIOS 名 iehang
5. 常见问题
Q1:小型公司需要集团架构吗不需要。少于 3 个子公司且无严格隔离需求时,建议使用单域 + OU 的方式管理。
Q2:各子公司可以用独立域名吗可以,但会增加跨域访问复杂度。如果业务需要,建议使用子域方式(如 sz.iehang.cn 子域)而非独立林。
💡 典型场景
- 场景 A: 母公司统一管理全部 AD,子公司使用子域
- 场景 B: 每个子公司独立林,通过跨林信任访问共享资源
- 场景 C: 混合模式——核心业务集中,用户域分布部署
- 场景 D: 云端 Azure AD 与本地 AD 混合部署
爱依航集团架构示例
# 域名规划
iehang.cn (集团根域)
├─ sz.iehang.cn (深圳子公司)
├─ qd.iehang.cn (青岛子公司)
├─ jn.iehang.cn (济南子公司)
└─ resource.iehang.cn (资源域,集中管理共享资源)
# DNS 命名空间
iehang.cn (DNS 区域根)
├─ sz.iehang.cn
├─ qd.iehang.cn
├─ jn.iehang.cn
└─ resource.iehang.cn
# OU 结构
iehang.cn (根域)
├─ IT信息部 (集中管理)
├─ 集团总部
│ └─ 财务部
│ └─ 销售部
└─ 各子公司OUNetBIOS 名 iehangQ1:小型公司需要集团架构吗
不需要。少于 3 个子公司且无严格隔离需求时,建议使用单域 + OU 的方式管理。
Q2:各子公司可以用独立域名吗
可以,但会增加跨域访问复杂度。如果业务需要,建议使用子域方式(如 sz.iehang.cn 子域)而非独立林。