DC adicional o subdominio

De forma general, cuanto más simple mejor; es decir, es mejor un sólo dominio
que tener subdominios, pues la carga administrativa se aumenta, por aumentar
la complejidad de DNS, la complejodad en la administración de grupos, etc.
Además, se suele pensar en subdominios como una forma de scurizar el entorno,
para tener administradores de dominio en cada dominio y que sólo lo puedan
ser de su dominio, no del resto, pero en la práctica esto es más inseguro,
pues es mejor delegar tareas administrativas que dejar que un usuario sea
administrador de su dominio, pues está en una posición por la que le será más
factible hacer una elebación de privilegios y acabar como administrador de
todo el bosque.

Generalmente se suele optar por una solución de subdominios más por una
cuestión política que otra cosa. Por ejemplo para poder definir distintas
políticas de contraseña y bloqueo de cuentas, ya que estas sólo se podían
definir a nivel de dominio, hasta la llegada de 2008 que permite la políticas
de contraseña granulares, es decir, a nivel de OU, con lo que ya ni siquiera
esto es necesario.
Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS, MCITP-EA
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"JORGEGAJI" wrote:

Mostrar la cita

Hola,

Hace algún tiempo decidimos para todas nuestras sedes, interconectadas por
una línea MacroLAN de 100Mbs, implementar un Dominio único para toda la
organización existiendo en cada sede un controlador de dominio adicional. A
día de hoy hemos alcanzado los 40 DC, uno por cada sede. También tenemos
configurados tantos SITIOS como sedes. Con el tiempo esta cifra irá en
aumento, hasta alcanzar un mínimo de 60 DC.

Llegado a este punto ahora nos cuestionamos si la política correcta a seguir
hubiera sido trabajar con un mismo Arbol, pero con Subdominios. Desconocemos
si la administración, dado el volumen actual de DC, hubiera resultado más o
menos complicada.

Gracias.