n="justify"> Автоматичні транзитивні довірчі відносини: між усіма доменами в лісі створені транзитивні довірчі відносини в ієрархічному порядку.
Один глобальний каталог об'єктів: інформація всіх об'єктів лісу зберігається в каталозі, в якому можна виконувати пошук.
Низька вартість.
Недоліки
Неможливість забезпечити незалежність від власників служб: неможливість забезпечити автономність служби одного лісу, якщо немає згоди в налаштуванні конфігурації служби.
Неможливо забезпечити ізоляцію від власників служб: адміністратор організації може анулювати параметри безпеки, встановлені власниками окремих доменів.
Проблеми реплікації через великі обсяги каталогу: проблема інформації рівня лісу, що підлягає реплікації, зокрема дані конфігурації і схема; проблема реплікації інформації глобального каталогу на всі сервери глобальних каталогів лісу; при надлишку інформації реплікація стає неприпустимо повільною
1.3 Кілька лісів
У деяких випадках, модель побудови єдиного лісу не здатна задовольнити всіх пропонованих в організації вимог і необхідно використовувати схему побудови декількох лісів.
Реалізація даної структури допускається в наступних випадках:
Об'єднання двох існуючих організацій
Незалежно від того, злиття це або поглинання, можна зіткнутися з тим, що з'являться два повністю розділених лісу, які потрібно зв'язати один з одним для спільного використання ресурсів.
) Створення автономного підрозділу.
Оскільки ліси є крайніми зонами безпеки, окремий ліс можна використовувати для того, щоб створити мережу, в якій адміністрування значною мірою незалежно від основного лісу. У такому випадку для окремого лісу схема може підтримуватися і змінюватися, не надаючи впливу на інші ліси.
Адміністративна автономія передбачає повний адміністративний контроль над деякими компонентами лісу на рівні лісу, домену або підрозділу. Проте, автономія не означає отримання ексклюзивного контролю. Існують адміністратори з більш широкими повноваженнями, які теж можуть управляти цими ресурсами і при необхідності можуть позбавити повноважень підлеглих адміністраторів.
Створення ізольованого підрозділи
Адміністративна ізоляція передбачає отримання ексклюзивного контролю над компонентом каталогу. У разі адміністративної ізоляції ніхто, крім зазначених адміністраторів не може отримати права управляти ресурсами, і ніхто з адміністраторів не може позбавити їх цих прав.
Однак, перш ніж приступити до планування структури кількох лісів, необхідно взяти до відома, що більша частина функціональності, доступної в межах одного лісу, недоступна між лісами. Крім того, підтримка декількох лісів вимагає значно більше зусиль в адмініструванні, ніж підтримка одного лісу [2].
Архітектура з декількома лісами має такі недоліки:
При пошуку ресурсів від користувачів потрібно більш високий рівень підготовки.
Співробітники, яким потрібна входити на комп'ютери, включені в зовнішні лісу, повинні вказувати при вході основне ім'я користувача (User Principal ...
