Active-Directory

兩個林之間或一個林中的密碼同步;使用複制還是使用 MIM 進行同步?

  • February 16, 2020

所以我們有一個在 4 個 DC 上複製的域(例如 contoso.local)。所有 DC 都在同一個子網中。所有使用者都駐留在這一域中的同一個 OU 中。所有工作站也都在它們自己的 OU 中。現在我們有一個小型(5 人)辦公室,沒有與 WAN 連接。這個辦公室有一個 FRITZ!Box 用於網際網路連接,所有使用者都在他們的電腦上本地工作。

計劃是在這個辦公室裡放置一個物理伺服器作為一個項目。此伺服器應該是具有自己域的新 DC(類似於 smalloffice.contoso.local)。新的 DC 將通過 VPN 連接到我們的網路。該辦公室的使用者將通過身份管理軟體作為對象創建到我們的大型本地域 contoso.local 中。所以我想將它們遷移到新域中。我讀到,您可以為此使用 ADMT 或 MIM。以下問題是,每次五個使用者中的一個更改密碼時,只會修改 contoso.local 中的使用者對象。

如何使該對象與新的 DC/域 smalloffice.contoso.local 同步(例如使用舊主域中的新密碼覆蓋新域中的舊密碼)?將新域作為一個單獨的域放入我們現有的林中並讓它們使用固有的 ADDS 功能進行複制就足夠了嗎?還是應該使用 MIM 遷移使用者,然後讓他們在每次更改密碼時同步?

您正在為此添加不需要的複雜性。對於一個 5 人的辦公室,我會讓他們成為您大域的一部分。您只需要在 AD 中配置站點和服務。您也可以配置子域。您的計劃將失敗,因為您不能在 AD 中擁有重複的對象。

引用自:https://serverfault.com/questions/1003048