Versione breve
What are the risks/ benefits / drawbacks of RODC's vs Child Domains vs Forest Trusts in AD
Sfondo
Lavoro con un'azienda che ha vari accordi commerciali tra molte piccole aziende (da 200 a 400) e diverse esigenze di controllo, fiducia e autonomia tra tutte queste entità aziendali.
L'ufficio aziendale ha una foresta AD che ha account per l'80% degli utenti in tutte le società. Il server di Exchange è qui e la società agisce in modo simile a un BPOS / Office 365 per quanto riguarda la fornitura di servizi alle aziende.
Stanno considerando di consolidare il carico di lavoro IT tra i 200 silos e stanno esaminando le seguenti opzioni:
-
Più foreste (Corporate e una per ciascuna delle 200 società) con trust di foresta in Hosted Exchange
-
Sottodomini / Alberi in una foresta per ogni azienda con un "dominio di risorse" per Hosted Exchange
-
Utilizza il nostro dominio corrente e distribuisci un controller di dominio di sola lettura (RODC) al di fuori di Hosted Exchange
-
Utilizza il nostro dominio corrente e implementa un controller di dominio completo sul sito remoto
-
Fai "qualcosa" con Forefront Identity Manager (non sono sicuro delle funzionalità di FIM)
La maggior parte degli accordi commerciali ha una clausola di risoluzione di 5 anni. A quel punto possono interrompere la loro relazione o possono rinnovare. Altri accordi commerciali sono più strategici e vogliamo anche gestire i loro desktop locali.
Sulla base della mia conoscenza storica di AD, è stato (o potrebbe ancora essere) possibile ottenere i diritti di autorizzazione di Enterprise Admin compromettendo un controller di dominio figlio locale.
Questo mi porta a chiedere quanto segue:
How do I deploy AD in a hostile location? Should I use an RODC or Forest Trust?
Are there any security benefits of using a child domain / tree in the forest?
What additional staff / management overhead is involved with a "Resource Forest"