Мы планируем выполнить миграцию в облако и в процессе рассматриваем возможность перехода на новый лес Active Directory.
На месте наш корневой лес AD соответствует нашему домену верхнего уровня (myschool.edu). Мы пользуемся им уже несколько лет, но можно было бы справиться лучше. Есть много объектов и групп, которые, как мы не уверены, больше используются (многие из которых были унаследованы), и хотя это напрямую не влияет на производительность, это проблема, которую мы хотели бы решить.
Однако в идеале мы хотели бы, чтобы наш корневой лес AD был поддоменом нашего домена верхнего уровня (ad.myschool.edu). Поскольку это потенциально может повлечь за собой большие изменения, я подумал, что может быть проще просто запустить это как новый корневой лес в облаке. Если мы сможем просто синхронизировать пользователей (и, возможно, некоторые группы) из старого леса AD в новый, мы могли бы просто переключить домен, к которому машина привязана, как часть процесса миграции в облако. Таким образом, нет ни одного дня, когда куча вещей ломается ... мы просто приближаемся к тому дню, когда мы избавимся от старого леса (на myschool.edu).
Хотя, возможно, я ошибаюсь в этом. Как лучше всего это сделать? Если это поможет, мы не используем сервер Exchange.
Я не думаю, что прилагательное "облако" имеет большое значение в вашей ситуации. По сути, вы просто спрашиваете, можете ли вы выполнить поэтапную миграцию из одного леса Active Directory в другой (и просто так случается, что ваш новый лес будет размещен на каком-то «облачном» сервере). Такой переход абсолютно возможен.
Вы говорите о миграция домена сценарий. В Инструмент миграции Active Directory (ADMT) может делать то, что вам нужно. Вы будете поддерживать доверительные отношения между старым лесом AD и новым лесом AD во время миграции, и вам понадобится конфигурация DNS, которая позволит клиентским компьютерам разрешать имена из обоих лесов AD во время миграции.
Главный совет, который я получил бы, - это разумно планировать и тестировать. Начните с тестовой популяции учетных записей пользователей и компьютеров и действуйте осторожно. Как только вы исправите ошибки в своем процессе, вы сможете двигаться дальше быстрее. Вам не следует торопиться, и вам следует протестировать все ваши основные приложения после миграции, прежде чем перемещать каких-либо рабочих пользователей и компьютеры.
Кстати: я полностью согласен с вашим отказом от доменного имени AD, которое соответствует вашему доменному имени в Интернете. Я уже говорил об этом здесь раньше, и я рад видеть, что вы отходите от того, что я считаю конфигурацией с повреждением мозга.