В настоящее время у нас есть один контроллер домена Windows 2008 R2 Active Directory и сервер Exchange 2010. Мы находимся в процессе добавления дочернего домена на второй сервер Active Directory для удаленного офиса для подразделения нашей компании. Эти два места будут связаны через VPN.
В настоящее время в корневом домене есть пользователи (около 20) с учетными записями Exchange, которые будут перемещаться в новую внешнюю компанию / место. Мы хотели бы иметь возможность перемещать эти учетные записи пользователей в дочерний домен, сохраняя при этом их существующие почтовые ящики и адреса электронной почты Exchange (они по-прежнему будут использовать один сервер Exchange). Возможно ли это, и если да, то как мы это сделаем?
Он настраивается как новый дочерний домен для удаленного местоположения - новое местоположение является независимой компанией (частично принадлежит родительскому местоположению / компании), и им нужен независимый домен для входа. Т.е. если штаб-квартира корпорации входит в систему с доменом ACME \ (ACME.local), тогда новый офис хочет войти в систему как FOOBAR \ (FOOBAR.ACME.local), а не ACME. Единственным общим ресурсом будет сервер Exchange (в корневом домене ACME).
К вашему сведению, я следовал рассуждениям и процессу, описанным здесь, для создания дочернего домена AD: http://blog.pluralsight.com/server-2008-active-directory-adding-a-child-domain
(Примечание: serverfault не позволяет мне добавлять комментарии ниже - нажатие на ссылку «добавить комментарий» вызывает ошибку JavaScript в Chrome). Безусловно, было бы полезно, если бы некоторые из людей, критикующих этот подход, могли объяснить, почему они думают, что это не лучший подход, и почему альтернативный подход будет работать лучше.
Примечание: удаленный офис должен иметь возможность для местного сотрудника иметь возможность сбрасывать пароли пользователей для пользователей в этом офисе, но не в офисе головной компании.
*** Большое спасибо за совет и извините, что не могу правильно прокомментировать !!
Не делай этого. Вы можете снизить административную нагрузку, оставив этих пользователей в одном домене, тем более что они будут находиться в одном лесу и обмениваться организацией. По этой ссылке
главными причинами наличия множества доменов являются множественные схемы, нормативные или другие требования к изоляции или невозможность разделить административные обязанности и доступ. Ничего из этого не применимо к описанной вами ситуации, поэтому лучше всего будет с одним доменом.
«Примечание: удаленный офис должен иметь возможность для местного сотрудника сбрасывать пароли пользователей в этом офисе, но не в офисе головной компании».
Это можно сделать очень просто, поместив этих пользователей в их собственное подразделение (что является отличной идеей) и делегируя возможность сброса пароля в этом подразделении сотруднику удаленной поддержки.
Для внешнего вида: вы можете назначить удаленным пользователям другой UPN и сделать так, чтобы они использовали его в качестве логина - user@foobar.com, и сделать его таким же, как их адрес электронной почты. Это будет очень заметным напоминанием о том, что они думают, что они разные. -