[WinMaster]

Перечитал два раза, так и не понял где вопрос то ?

[Megabizon]

Enterprise Admins имеет неограниченные права во всем лесе. Даже если ты явно не предоставишь доступа к какому-нибудь объекту, Enterprise Admins может всегда стать владельцем этого объекта и получить доступ.
В компаниях, где заботятся о безопасности, практически всегда делают пустой первый домен для отделения администраторов данного типа. Даже делают так, что выполнить вход в систему под учетной записью с правами Enterprise Admins или Schema Admins можно только по смарт-карте. Данная смарт-карта хранится в сейфе службы безопасности и выдается под роспись.
Объяснить руководству достаточно просто: допустим у тебя в сети появится какой-нибудь админ, который будет считать себя кульным хацкером, и которому премию не дали и он обиделся. Если он получит членство в Enterprise Admins, то сможет произвести деструктивные действия не только во в домене, но и во всем лесе. Пример деструктивных действий, запуск по расписанию скрипта, который создает 10 000 пользователей, потом их удаляет по несколько раз в день. Т.к. удаленные объекты хранятся 60 дней в АД, то в результате база начинает АД раздувается, каналы начинают забиваться репликацией, контроллеры загружены, сеть и сетевые сервисы начинают работать нестабильно. Пользователи начинают простаивать, все отсальные админиы начинаю бегать с выпученными глазами не понимая в чем дело - компания несет убытки. Кроме того, такой админ может просто вырубить весь лес и вообще все встанет - компания начинает нести еще более значительные убытки. А теперь вопрос... Сопоставимы ли убытки компании с затратами на приобритение двух не самых навороченных сервачков?
Вот тебе и обоснование.

[ars_zhava]

Хорошо! А не в контексте безопасности есть какие-либо нюансы?

[Fighter]

интересная тема... Megabizon убедительное обоснование ))
ars_zhava

Цитата:

хотя тот же эффект можно получить сделав пустой корневой домен firm.biz и дочерний домен копмании corp.firm.biz

да но в таком случае пространство имен будет связное в отличие от первого примера с ROOT.LOCAL. Который в свою очередь
имеет такое преимущество, как именование домена + кой какие нюансы по мелочи.

Цитата:

Получается, что все таки нет четких рекомендаций по необходмиости выделения отдельного, пустого корневого домена леса.

среди рекомендаций microsoft по усилению безопасности AD указанно, упомянутое вами исключение членства в искомых группах,
а так же. как упомянул Megabizon, использование смарт-карт для усиления безопасности привелигированных уч. записей.
увы, несмотря на нет-нет да и возникающие дискусии по использованию пустого корневого домена леса, как рекомендации от производ.
таковой видеть не доводилось. равно как и аргументированно-корректного распределения ролей в зависимости от режима работы.
откуда информация? есть чем поделиться?

[Megabizon]

Согласен с Fighter, мне тоже не удалось найти документ, где явно Microsoft рекомендует использование рутового домена. Как правило речь идет, что для повышения безопасности лучше бы использовать рутовый домен. В основном это идет от Федора Зубанова, российский MCS (Microsoft consulting service) методику использования рутового чут-ли не как заповедь глаголит, хотя, когда я спрашивал Федора, где это явно рекомендовано в офицальных публикациях Microsoft, он мне не ответил.
Мне думается надо исходить из требований заказчика: если он требует повышенной безопасности, то рекомендовать использование рутового домена, если нет, то можно без него обойтись. Вообще я считаю, что должный уровень безопасности можно обеспечить и без рутового домена, главное чтоб люди, которые будут выполнять дизайн и дальнейшее обслуживание, были грамотными. С рутовым проще - отделяются Schema Admins и Enterprise Admins, также отделяются мастера Schema master и Domain naming master, что снимает некоторую головную боль.