В настоящее время у нас есть следующая среда (размещенная на сервере 2003 и серверах терминалов в 2008 R2), и нам необходимо обновить ее до их версий 2012 года. Создадим новую среду с нуля.
Каждый клиент имеет собственное подразделение в нашей AD и, используя запреты (ADSIedit), они не могут видеть друг друга в Exchange и ни как обычные объекты (например, для разрешений папок).
Мы не хотим снова использовать эти уловки и, скорее, имеем хорошо продуманный дизайн активных каталогов.
Я погуглил по этому поводу, но, похоже, это невозможно (по крайней мере, изначально). Нам все еще нужно использовать adsiedit и делать уловки, чтобы получить среду с несколькими арендаторами. Что касается Exchange, мы думали об использовании Office 365 для клиентов.
Я хотел бы знать, если я что-то неправильно понял или что-то мне не хватает для создания многопользовательской среды 2012 R2.
Хотя Эван прав в том, что вы действительно не можете делать то, что хотите, без взлома списков ACL разрешений в ADSIEdit, я подумал, что пошел бы дальше и упомянул альтернативный подход, который я раньше успешно использовал в больших производственных средах:
Вы можете создать мультитенантную структуру с Active Directory, используя режим объектов списка. Прочтите все об этом здесь:
https://www.myotherpcisacloud.com/post/2013/05/20/Active-Directory-List-Object-Mode.aspx
Режим List Object по-прежнему считается «взломом разрешений», но он намного чище, чем ставить Deny ACE на все.
Разрешения по умолчанию в Active Directory не настроены для многопользовательской среды. Вам нужно будет внести изменения в стандартные разрешения, чтобы выполнить то, что вы ищете. Такова суть дизайна продукта.
Если вы можете выйти из одного леса AD и перейти к нескольким лесам учетных записей без доверительных отношений между собой (что, возможно, помогает реализовать лицензия Windows Server 2012 Datacenter), вам придется делать гораздо меньше «взлома» разрешений AD, поскольку леса - это граница атомной безопасности. Вы должны поддерживать лес (ы) ресурсов с односторонними непереходными доверительными отношениями с лесами учетных записей в этом типе сценария.
Хотя вы не можете использовать свой метод ADSIEdit в Exchange Server 2010 или 2013, вы можете использовать многопользовательские возможности Exchange Server 2010 или 2013. Гораздо более простое решение (и то, которое я использовал с клиентом с аналогичными потребностями) - использовать Политики адресной книги в Exchange Server 2010 или 2013, чтобы обеспечить необходимое разделение и изоляцию.
http://technet.microsoft.com/en-us/library/hh529948(v=exchg.150).aspx