Здравствуйте.
Скажите, пожалуйста, при развертывании новой инфраструктуры на базе Windows 2003, по каким соображениям необходимо создавать пустой корневой домен леса, например, ROOT.LOCAL, а потом от него строить новое дерево доменов организации, например, FIRM.BIZ.
Ведь это предусматривает поддержку двух дополнительных DC, а можно было бы просто создать сразу домен FIRM.BIZ

Заранее благодарен.


Да, конечно, второй вариант стандартен и чаще всего применяется, если не накладывать дополнительных условий.

к примеру, выделение отдельного домена root.local может усилить безопасность инфраструктуры - в нем будут находиться учетная запись администратора с правами Enterprize admins and Schema Admins.
это позволит разделить настройки безпасности для них и большинства других учетных записей (за счет разных доменов).
Хотя тот же эффект можно получить сделав пустой корневой домен firm.biz и дочерний домен копмании corp.firm.biz, в котором разместить учетные записи и другие настройки безопасности.

кроме того другой причиной может быть наличие (планирование) в компании не только firm.biz, но и firmA.biz, firmC.biz, firmD.info, firm.sec управление которыми подчинено единому администратору из root.local.




Получается, что все таки нет четких рекомендаций по необходмиости выделения отдельного, пустого корневого домена леса. Защитить уч. запись администратора корневого домена, можно просто лишив, ее членства в группах Schema Admins и Enterprise Admins (и включать в эти группы лишь на время проведения соответствующих работ)
Против такой защиты стоит необходимость покупки и поддержки двух серверов, что достаточно проблемно обосновать руководству.

Перечитал два раза, так и не понял где вопрос то ?

Enterprise Admins имеет неограниченные права во всем лесе. Даже если ты явно не предоставишь доступа к какому-нибудь объекту, Enterprise Admins может всегда стать владельцем этого объекта и получить доступ.
В компаниях, где заботятся о безопасности, практически всегда делают пустой первый домен для отделения администраторов данного типа. Даже делают так, что выполнить вход в систему под учетной записью с правами Enterprise Admins или Schema Admins можно только по смарт-карте. Данная смарт-карта хранится в сейфе службы безопасности и выдается под роспись.
Объяснить руководству достаточно просто: допустим у тебя в сети появится какой-нибудь админ, который будет считать себя кульным хацкером, и которому премию не дали и он обиделся. Если он получит членство в Enterprise Admins, то сможет произвести деструктивные действия не только во в домене, но и во всем лесе. Пример деструктивных действий, запуск по расписанию скрипта, который создает 10 000 пользователей, потом их удаляет по несколько раз в день. Т.к. удаленные объекты хранятся 60 дней в АД, то в результате база начинает АД раздувается, каналы начинают забиваться репликацией, контроллеры загружены, сеть и сетевые сервисы начинают работать нестабильно. Пользователи начинают простаивать, все отсальные админиы начинаю бегать с выпученными глазами не понимая в чем дело - компания несет убытки. Кроме того, такой админ может просто вырубить весь лес и вообще все встанет - компания начинает нести еще более значительные убытки. А теперь вопрос... Сопоставимы ли убытки компании с затратами на приобритение двух не самых навороченных сервачков?
Вот тебе и обоснование. :tease:

Хорошо! А не в контексте безопасности есть какие-либо нюансы?

интересная тема... Megabizon убедительное обоснование ))
ars_zhava
хотя тот же эффект можно получить сделав пустой корневой домен firm.biz и дочерний домен копмании corp.firm.biz
да но в таком случае пространство имен будет связное в отличие от первого примера с ROOT.LOCAL. Который в свою очередь
имеет такое преимущество, как именование домена + кой какие нюансы по мелочи.
Получается, что все таки нет четких рекомендаций по необходмиости выделения отдельного, пустого корневого домена леса.
среди рекомендаций microsoft по усилению безопасности AD указанно, упомянутое вами исключение членства в искомых группах,
а так же. как упомянул Megabizon, использование смарт-карт для усиления безопасности привелигированных уч. записей.
увы, несмотря на нет-нет да и возникающие дискусии по использованию пустого корневого домена леса, как рекомендации от производ.
таковой видеть не доводилось. равно как и аргументированно-корректного распределения ролей в зависимости от режима работы.
откуда информация? есть чем поделиться?

Согласен с Fighter, мне тоже не удалось найти документ, где явно Microsoft рекомендует использование рутового домена. Как правило речь идет, что для повышения безопасности лучше бы использовать рутовый домен. В основном это идет от Федора Зубанова, российский MCS (Microsoft consulting service) методику использования рутового чут-ли не как заповедь глаголит, хотя, когда я спрашивал Федора, где это явно рекомендовано в офицальных публикациях Microsoft, он мне не ответил.
Мне думается надо исходить из требований заказчика: если он требует повышенной безопасности, то рекомендовать использование рутового домена, если нет, то можно без него обойтись. Вообще я считаю, что должный уровень безопасности можно обеспечить и без рутового домена, главное чтоб люди, которые будут выполнять дизайн и дальнейшее обслуживание, были грамотными. С рутовым проще - отделяются Schema Admins и Enterprise Admins, также отделяются мастера Schema master и Domain naming master, что снимает некоторую головную боль.