Я занимаюсь классом, который включает в себя тестирование безопасности и вредоносных программ, и поэтому хочу изолировать свои лаборатории от их собственной сети без маршрутизации на главный сайт. Я хочу иметь возможность устанавливать политики, создавать пользователей и т. Д. Из моего основного контроллера домена, который существует в основной сети. Брандмауэр имеет такую маршрутизацию, что основная сеть может получить доступ к обеим лабораторным сетям, но лабораторная сеть не может взаимодействовать с основной сетью, если не установлено взаимосвязанное. Я' Я не любитель больших окон, поэтому мне нужно немного совета. Топология выглядит следующим образом
У меня недостаточно представителей для публикации изображений, поэтому, пожалуйста, посмотрите топологию
Я предвижу следующие проблемы:
Это то, что я ' м пытаюсь достичь даже возможного?
Главный контроллер домена может «проталкивать» политики на другие контроллеры домена, но что касается пункта выше, другие контроллеры домена не могут тянуть что-либо из главного контроллера домена.
Я предполагаю, что все роли FSMO должны будут выполняться на главном контроллере домена.
Цель среды lab состоит в том, чтобы она была автаркичной и не подключена ни к какому не -лаборатория среды. Если вы подключите свою лабораторную среду к основному Active Directory, то наличие политик передачи вашего основного контроллера домена в лабораторную среду станет возможным.Но тогда это уже нельзя было называть лабораторной средой. Я не могу сказать вам наверняка, возможно ли то, что вы хотите, но только потому, что (на мой взгляд) это не соответствует разумным методам управления бизнес-информационными технологиями (что также является серьезной причиной), и поэтому Я никогда не реализовывал что-то подобное.
Но поскольку вы спрашиваете, возможно ли это, а не как это сделать на самом деле, вместо закрытого голосования я скажу вам, что ваши планы выглядят как худшая практика. Так что, пожалуйста, не делайте этого.
Я предлагаю создать автономную лабораторную среду и создать новый лабораторный лес. Если вам нужны политики с главного контроллера домена, лучше всего экспортировать политики из консоли GPMC и повторно импортировать их в лабораторную среду.
Изменить:
[ Из вашего комментария ниже ] Это не главный DC, как в организационном. Это DC, доступный каждому в классе.
Я не понял этого из вашего вопроса. В этом случае единственное, что вы можете сделать, чтобы не нарушить репликацию AD, - это реализовать в своих лабораториях контроллеры домена только для чтения. Но это будет работать только в некоторой степени, потому что:
Какие операции завершаются неудачно, если глобальная сеть отключена, но контроллер домена только для чтения находится в сети в филиале? [Что отразит вашу запланированную настройку; Контроллер домена только для чтения не может связаться с контроллером домена с возможностью записи.]
Если контроллер домена только для чтения не может подключиться к контроллеру домена с возможностью записи, работающему под управлением Windows Server 2008 в концентраторе, следующие операции филиала завершатся ошибкой:
- Изменение пароля
- Попытки присоединиться к компьютеру к домен
- Переименование компьютера
Попытки аутентификации для учетных записей, учетные данные которых не кэшированы на RODC
. Обновления групповой политики, которые администратор может попытаться выполнить с помощью команды gpupdate / force
Источник: https: //technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx[12107 impression