我們為許多中小型企業提供託管 IT 服務。我正在尋找一種解決方案，以可擴展的方式管理我們對客戶 AD 林的訪問。

現在，我們在 AD 中手動創建自己的登錄，並具有足夠的權限。正如您可以想像的那樣，這並不能很好地擴展，因為我們獲得了員工並且需要能夠撤銷密碼等……涉及手動登錄每個客戶端以更新 AD。

對於我們幾乎所有的客戶，我們管理他們的整個 IT 基礎設施，包括 AD、所有伺服器、網路等……所以如果我們能夠獲得可靠的解決方案，我們應該能夠合理地修改客戶的 AD 配置以實現我們的目標.

我們還提供託管服務，因此我們有一種可靠的方式來託管我們自己的基礎設施，供客戶同步回。

我想要什麼

• 一種能夠跨站點/森林等集中管理多個客戶的 AD 帳戶的方法……
• 最好，我們會切換到為客戶 AD 中的每個技術人員創建自己的帳戶，這樣我們就有一定程度的責任感，並且訪問策略可以更加細化。
• 顯然，上述觀點引發了對污染客戶廣告的擔憂（儘管我們現在沒有太多人），所以我們想盡量避免讓客戶不得不經常看到我們的使用者。這當然是一個棘手的問題，但也許簡單地將我們的使用者放在一個單獨的 OU 中可以部分解決這個問題。
• 我們的主要目標是簡化招聘/解僱流程，並減少人為錯誤的可能性（例如，在訪問權限分解期間錯過禁用客戶 X 的訪問權限）。因此，密碼重置、禁用使用者等內容應該在某種程度上同步。我想權限不是問題，因為無論如何它們都可以基於每個客戶。
• 多平台也是一個目標。我們還需要能夠管理路由器和 Linux 機器，RADIUS 似乎是一個顯而易見的選擇。
• 伺服器大多是 Windows 2008 R2，一些 Windows 2012，一些 Linux，Cisco 和 Juniper 設備。
• 我應該添加 RADIUS 等…不應該是 AD 的唯一來源。目標是讓客戶現有的 AD 帳戶滿足他們的需求，然後從 RADIUS 導入我們自己的帳戶。

我試過的

到目前為止，我一直專注於以某種方式將 RADIUS 帳戶集成到 AD 中——但我發現的更多是關於使用 AD 作為 AD 集成的主源，而我想要更多相反的東西。

我認為 RAIDUS 對我們來說很有意義，因為我們的許多託管基礎設施都是非 Windows 的，即使我們的客戶主要是基於 Windows 的。無論如何，我們也希望為我們的 DSL 尾部提供 RADIUS 身份驗證。為所有員工帳戶提供單一的事實來源是有意義的。

很想听聽處於類似情況的人如何解決這個問題，因為我在網上找不到太多東西。

謝謝。

聽說過信任關係嗎？讓客戶端域信任您的域。或特定的服務人員域。

信任本身並不賦予任何權利。您仍然必須將使用者添加到相應的組 - 信任只允許並且“信任”來自域 X 的使用者 A 是來自域 X 的使用者 A（並且恰好在我的組中擁有權限）。

引用自：https://serverfault.com/questions/560655