Итак, у нас есть домен (например, contoso.local), который реплицируется на 4 DC. Все контроллеры домена находятся в одной подсети. Все пользователи находятся в одном подразделении в одном домене. Все рабочие станции также находятся в собственном OU. Теперь у нас есть небольшой (5 человек) офис, который не подключен к WAN. В этом офисе есть FRITZ! Box для подключения к Интернету, и все пользователи работают локально на своих компьютерах.
Планируется разместить в этом офисе физический сервер в качестве проекта. Этот сервер должен быть новым DC с собственным доменом (что-то вроде smalloffice.contoso.local). Новый DC будет подключен к нашей сети через VPN. Пользователи этого офиса будут созданы с помощью программного обеспечения для управления идентификацией в качестве объекта в нашем большом локальном домене contoso.local. Поэтому я хотел бы один раз перенести их в новый домен. Я читал, что для этого можно использовать ADMT или MIM. Следующая проблема будет заключаться в том, что каждый раз, когда один из пяти пользователей меняет свой пароль, будет изменен только объект userobject в contoso.local.
Как мне синхронизировать этот объект с новым DC / доменом smalloffice.contoso.local (например, перезаписать старый пароль в новом домене, используя новый пароль из старого основного домена)? Достаточно ли было бы поместить новый домен как отдельный домен в наш существующий лес и просто позволить им реплицироваться с помощью встроенной функции ADDS? Или вам следует использовать MIM для миграции пользователей, а затем позволить им синхронизировать каждый раз при изменении пароля?
Вы усложняете то, что вам не нужно. Для офиса из 5 человек я бы просто сделал их частью вашего большого домена. Вам просто нужно настроить сайт и сервис в AD. Вы также можете настроить дочерний домен. Ваш план потерпит неудачу, потому что у вас не может быть повторяющихся объектов в AD.