[ko4evneg]

Как раз для такого ограничения и существуют поддомены. Создайте новый домен под уже существующим и дайте доменного админа местному администратору.

[r00tkid]

Подскажите, в случае поддомена, какие объекты будут реплицироваться дочерним контроллером с основного?

[Trouble_Maker]

Цитата r00tkid:

Подскажите, в случае поддомена, какие объекты будут реплицироваться дочерним контроллером с основного? »

Контейнер configuration, application partition (как пример DNS если он будет в ForestDnsZones или выгружен в отдельную партицию), глобал каталог, схема, доменный контекст не реплицируется - пользователи, компьютеры, группы..

[Trouble_Maker]

Цитата r00tkid:

Приветствую! У меня есть контроллер домена и я планирую поставить ещё один в филиале. В филиале есть свой админ. Организация одна, филиал - это одно из структурных подразделений. Как лучше поступить? Создать новый домен и настроить доверие? Или на своем контроллере добавить сайт для филиала? В случае доверия новым доменом полностью будет рулить второй админ. А в случае с сайтом, как будет происходить репликация? Новый контроллер какую инфу будет тянуть с моего? Как мне ограничить доступ, чтобы местный админ педалил только своим контроллером? »

У вас есть несколько сценариев. Если админу в филиале необходимо будет создавать учетки пользователей\ПК, создавать группы - то тут вариант для вас, создать там дочерний домен. В данном случае, у вас будет общая схема, общая конфигурация, но разный доменный раздел - то есть, не будут реплицироваться учетные записи, группы, принтеры,учетки ПК которые админ будет создавать в дочернем домене и корневом. Если админу не нужно будет админить Active Directory, есть вариант установить в филиале RODC, и разбить структуру на 2 сайта.

[El Scorpio]

Цитата Trouble_Maker:

У вас есть несколько сценариев. Если админу в филиале необходимо будет создавать учетки пользователей\ПК, создавать группы - то тут вариант для вас, создать там дочерний домен. В данном случае, у вас будет общая схема, общая конфигурация, но разный доменный раздел - то есть, не будут реплицироваться учетные записи, группы, принтеры,учетки ПК которые админ будет создавать в дочернем домене и корневом. Если админу не нужно будет админить Active Directory, есть вариант установить в филиале RODC, и разбить структуру на 2 сайта. »

Сильно сомневаюсь, что в маленьком филиале админу так уж часто придётся регистрировать новых пользователей. Да и в маленьком филиале целый админ будет лишним - достаточно будет простого "эникея".
Ну а создать новый профиль пользователя в случае найма нового человека вполне может главный админ по заявке из филиала. Вторая задача - регистрация новых компьютеров при приобретении, либо при переустановке системы - также может быть выполнена по заявке.

В общем, сначала лучше создать в филиале RODC (контроллер домена только для чтения), который будет получать обновления структуры от главного сервера, ну а далее - по обстоятельствам.
Если выявится большая текучка кадров, то можно будет делегировать часть требуемых полномочий. Поскольку вы в любом случае создадите для филиала отдельное подразделение (OU), то можно разрешить админу (или кадровику) филиала создавать/редактировать пользователей в этом подразделении.

Ну а если филиал получится большой, и ему уже требуется свой IT-отдел с грамотными специалистами, значит прямая дорога к созданию отдельного дочернего домена.