如何在敌对地点部署AD？Active Directory中的域、林和RODC之间的安全含义是什么？

Question

短版

在AD中，RODC对子域和森林信任的风险/利弊是什么？

背景

我正在与一家公司合作，该公司在许多小公司(200至400家)之间签订了各种业务协议，并在所有这些业务实体之间有着不同的控制、信任和自主需求。

公司办公室有一个AD森林，占所有公司80%的用户。Exchange服务器就在这里，该公司在向公司提供服务方面的行为类似于BPOS/Office 365。

他们目前正在考虑将信息技术工作量合并到200个筒仓中，并正在考虑以下备选方案：

1. 多个森林(公司，200家公司各一家)与森林信托托管Exchange
2. 用于托管Exchange的“资源域”的每个公司的森林中的子域/树
3. 使用当前域，并在宿主Exchange之外部署只读域控制器(RODC)
4. 使用当前域，并将完整域控制器部署到远程站点。
5. 使用前沿身份管理器“做些什么”(不确定FIM的功能)

大多数商业协议都有5年终止条款。到那时，他们可以终止他们的关系，或者他们可以续约。其他业务协议更具战略性，我们也希望管理它们的本地桌面。

根据我对AD的历史知识，通过损害本地子域控制器来获得企业管理权限已经(或者仍然可能)是可能的。

这使我不得不提出以下问题：

• 如何在敌对地点部署AD？我应该使用RODC还是森林信托？
• 在林中使用子域/树有什么安全好处吗？
• 与“资源森林”有关的额外工作人员/管理费用

Answer 1

如果你想完全控制域名，你最好的选择可能是RODC (S)。

RODC不是任何常规域控制器。默认情况下，所有身份验证请求都转发给可写DC。只有在满足两个条件时，RODC才会存储凭据：

1. 启用凭据缓存(默认禁用)
2. 用户已从RODC的站点中登录

因此，除非EA已经登录到RODC的站点，否则企业管理帐户就不能被破坏。我想说，具有管理权限的帐户凭据也不会被缓存，但我无法证实这一点。理论上，您不需要让EA登录到该站点，因为您可以设置特定于RODC的管理用户。这些用户可以拥有管理权限，但不能在任何其他DC上碰任何其他东西。

见此处：http://technet.microsoft.com/en-us/library/cc732801(WS.10).aspx