Я работаю в компании, которая размещает настольные компьютеры для различных компаний. На данный момент все клиенты обращаются к одному контроллеру домена под названием HOSTING. Под ним находятся группы для каждой компании.
Каждый из серверов хостинга существует в одной сети и поэтому потенциально доступен для просмотра другими серверами терминалов. Это вызвало некоторые проблемы с безопасностью, и мне было немного сложно управлять безопасностью. Кроме того, можно увидеть, кто другие размещенные компании, даже если другие пользователи не могут видеть их данные.
Я бы хотел изолировать каждый клиентский терминальный сервер / серверы в их собственной VLAN. Кроме того, я думаю, что у каждого TS будет свой собственный DC, который может просто работать на TS для этой компании. Накладные расходы для DC довольно минимальны. Это полностью изолирует пользователей этой TS от других компаний.
Во-первых, звучит ли это как разумный план?
Во-вторых ... если это разумно, как я могу перенести учетные записи из домена HOSTING в новый домен? в идеале, без необходимости пользователям менять свои пароли?
ADMT наверняка хорош для переноса учетных записей в новый лес. Но ... стоит ли создавать отдельный лес AD для каждого клиента? Это могло довольно быстро стать трудным. Если ваш бизнес таков, что у вас всего несколько клиентов, это, вероятно, не имеет большого значения. Но если у вас много клиентов и вы надеетесь расти, все станет намного сложнее.
Я рекомендую вам ознакомиться с платформой Microsoft HMC (Hosted Messaging and Collaboration) здесь. Он не применим напрямую к вашей среде, потому что он в основном используется компаниями, которые размещают Exchange / Sharepoint / OCS / веб-сайты, но платформа определяет инфраструктуру AD, которая позволяет размещенным компаниям запускать многопользовательскую конфигурацию с тысячами клиентов в тот же лес AD. Это не отменяет возможности для них иметь выделенные серверы. Это не ракетостроение, но оно может дать вам некоторые идеи о том, как лучше заблокировать AD, если это действительно одна из ваших проблем. Обратите внимание, что HMC уходит со следующим поколением приложений бэк-офиса Microsoft (Exchange 2010, Sharepoint 2010 и т. Д.), Поэтому вы, вероятно, не захотите фактически ИСПОЛЬЗОВАТЬ HMC, но вы можете почерпнуть из нее полезную информацию.
Отдельно от Windows, я могу увидеть, как ваша выделенная конфигурация VLAN может хорошо работать.
Это кажется очень разумным планом. Проверьте Microsoft ADMT. Я использовал его раньше для миграции AD, и он работал довольно хорошо.