iis – Windows Web Server是否应该是Active Directory域的成员

在安全性和可管理性方面 – 什么是最佳实践？

应该是Web服务器

>从Active Directory域添加和管理

要么

>成为独立于“资源服务器”活动目录的“Web服务器”工作组的一部分？

Web服务器上不需要用户帐户,只需要管理帐户(服务器管理,系统报告,内容部署等)

如果您有跟踪数据访问的任何审计或法定要求(HIPAA,SOX等),您可能希望远离在SQL服务器上使用基于SQL的身份验证.您应该通过您的配置过程跟踪访问(即谁在哪些组,如何获得批准以及由谁进行)以及对数据的所有访问都应通过用户指定的帐户进行.

对于DMZ issues related to accessing the AD,您可以使用只读DC(RODC)解决部分使用Server 2008的问题,但仍存在部署到DMZ的风险.还有一些方法可以强制DC使用特定端口穿透防火墙,但是这种类型的切割可能会使验证问题变得困难.

如果您有特定需要允许Internet和Intranet用户访问同一个应用程序,则可能需要使用其中一个联合服务产品(Microsoft产品或类似Ping Federated)进行调查.

（编辑：ASP站长网）