Однодоменная или многодоменная сеть лучше для предприятия?

Question

[Михаил Савин]

Собственно это и есть вся суть вопроса! Для организации, имеющей некоторое количество разбросаных по стране флиалов и общее число сотрудников около 500, какая именно сеть предпочтительнее?!
Хотелось бы услышать все возможные ЗА и ПРОТИВ для однодоменной и многодоменной сети при следующих обязательных условиях:
1. Домен (корень) леса должен быть виртуальным сервером (обязательное условие(!)), работать исключительно под Windows Server 2008 R2;
2. В каждом филиале есть свой системный администратор, который должен иметь возможность самостоятельно (без помощи и звонков сисадминам головного Московского офиса) создавать учетные записи пользователей и компьютеров;
3. Сисадмины головного офиса должны иметь возможность контроля-модификации-резервного-копирования всех данных;
4. Домен леса должен иметь своего виртуального "брата-близнеца" на случай выхода из строя;
5. Пользователи из одного филиала не должны иметь возможность регистрации под своими учетными данными на компьютерах другого филиала без ведома и разрешения сисадминов головного офиса;
6. Последнее по списку и первое в приоритетах - необходимо сохранить и перенести все учетные записи пользователей и компьютеров из существующей однодоменной сети(!);

Comments

[Михаил Савин]

Хотелось бы сразу предупредить всех отвечающих, что это мой первый(!) опыт такого рода.

Answer 1

[mikes]

Мне видится, что однодоменная будет проще в управлении, все описанные пункты возможно реализовать.
Но вопрос в обеспечении непрерывной работы и требования к каналам связи будут. Хотя конечно можно в каждый филиал поставить по контроллеру домена..

Многодоменная структура по сути изолированная с доверием между узлами (доменами) сложнее в управлении, но меньше зависит от каналов связи с головным офисом/филиалами

Если каналы между филиалами надежны и имеют достаточную пропускную способность, то я выбрал бы первое.

Comments

[Михаил Савин]

@mikes, сразу возникает такой вопрос: возможно ли организовать однодоменною сеть с несколькими контроллерами в разных городах с возможностью передачи полномочий создания учетных записей пользователей/компьютеров локальным администраторам на местах в филиалах?!

[mikes]

Физическое расположение контроллеров не имеет значения, а по второму пункту, как мне видится, это делегирование полномочий в рамках OU филиала + GPO

[Михаил Савин]

@mikes, т.е. на сколько я понял, добавленные контроллеры будут просто дублировать друг друга?!

[mikes]

Вы можете подробнее погуглить о FSMO ролях контроллеров домена в AD, всегда можно создать схему в которой будет понятно, за что какой сервер отвечает.

Если хотите простого ответа, то в большей степени да, будут дублировать (до тех пор пока все работает исправно :) )

Answer 2

[Илья Гром]

~500 - это немало. Компы раскиданы по стране. Учётки надо перекинуть из многодоменной.
Я советую создавать также многодоменную.

Comments

[Михаил Савин]

А немогли бы Вы пояснить свой ответ?! Почему именно так?! Какие могут быть трудности при реорганизации сети?! Как есть варианты для "менее болезненного перезда" с одного контроллера на другой?!