Active-Directory

連結隔離的 AD 域林

  • January 13, 2020

我的公司為我們的客戶管理多個本地 Windows Server 環境。就本問題而言,這些環境由主域控制器、輔助域控制器和 WSUS 組成。這些環境中的每一個都是由其他 IT 服務提供商單獨創建的,因為它們位於他們自己的域林中。見下圖:

在此處輸入圖像描述 然而,我們繼承的這種隔離架構給幫助台和現場工作人員帶來了巨大的成本。我們簽約提供現場服務,管理客戶的更新(通過 WSUS),維護客戶的活動目錄策略(以反映行業最佳實踐),並執行基本的活動目錄管理。我想達到什麼目的?簡而言之,“級聯”,我想定義一組活動目錄策略,然後將它們級聯到客戶的域,我希望幫助台工作人員和技術人員能夠使用通用活動目錄帳戶登錄,我想從通用 WSUS 帳戶推送更新。為了實現上述目的,我可以將它們遷移到一個公共域林:

在此處輸入圖像描述

但是,我想保持盡可能鬆散的耦合。在 12 個月的時間裡,客戶可以選擇遷移 IT 服務提供商——我希望以最小的努力將他們解救出來。相反,我希望能夠在對環境影響最小的情況下盡快吸引新客戶。因此,我相信基於森林信任關係的方法將是最好的前進方式:

在此處輸入圖像描述

人們對上述提出的架構有什麼想法?森林信任關係是實現我的目標的最佳方式嗎?

我們繼承的這種隔離架構為幫助台和現場工作人員帶來了巨大的成本

首先,您的客戶應該彼此隔離,也應該與您隔離。產生的間接費用是您開展業務的成本。這就是成為 MSP 的意義所在。

這是一個壞主意。您不應嘗試在這些客戶端與您之間或客戶端之間創建林/域信任。此外,這些客戶端都不應該在網路級別相互連結。如果我的 MSP 試圖這樣做,我會立即解僱他們。

這就是 RMM 的用途。市場上有無數的 RMM 解決方案,例如 Kaseya VSA、SolarWinds RMM、Atera、Continuum、Pulseway、Itarian、ConnectWise 等。您應該找到適合您的需求和預算的並使用它。

引用自:https://serverfault.com/questions/998741