提前声明:我是 UNIX 方面的专家,但从运营支持/性能调优的角度来看,我至少已经与 Windows 机器打交道十年了。
我的公司最近收购了另一家公司,我们正在研究在两家公司之间整合 Active Directory 的策略。我们在两个站点之间建立了站点到站点 VPN 连接和快速名称解析。
我将不胜感激:
- 任何经历过同样情况的人都应给出建议。
- 指向描述高层考虑和技术细节的文章的链接。
- 陷阱、永远不要做的事情、我希望我知道的事情、总是做但从未记录的事情。
答案1
我计划废弃其中一个 Active Directory 林并将其丢弃。维护多域(更不用说多林)Active Directory 是一件很麻烦的事。
如果您在林中没有大量的用户/计算机或复杂的文件系统权限被废弃,我甚至不会使用像 Active Directory 迁移工具这样的工具。
迁移工具可以快速完成某些工作,但如果您有时间在林之间建立信任关系并谨慎迁移,您可以对所有文件权限、应用程序以及任何依赖 Active Directory 的其他服务进行真正的从上到下的审查,并将被收购的公司以受控和协调的方式纳入您的 Active Directory,而不是从他们的 AD 中带来大量包袱,这些包袱将成为未来几年困扰您的“遗留”负担。
我会建立林之间的信任关系,以便一个域中的用户可以登录另一个域中的计算机。然后,客户端计算机的域成员身份就变得无关紧要了。我会将目标域的多个域控制器部署到被收购公司的办公室中。您甚至可以将它们作为虚拟机部署在现有的域控制器上,而无需考虑 Windows 许可。
我会规划出在废弃的森林中使用组策略的用途,并在目标森林中设置站点和 OU 来容纳您移动的计算机。您可能会发现他们实际上并没有将组策略用于任何事情(令人沮丧的是,在 Active Directory 和组策略出现 9 年后,情况似乎仍然如此),但一定要考虑一下。
我将使用“NETDOM”工具部署启动脚本(参见http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx) 将客户端计算机从废弃的林中分离出来,并将其加入到目标林中。对于废弃林的用户,用户登录将继续像往常一样工作。
是否从废弃的林中迁移用户和组取决于用户和组的数量以及在目标林中重新创建用户、组和文件系统 ACL 的难度。
您没有提到 Exchange。如果 Exchange 正在运行,您需要担心跨林/跨组织邮箱迁移。除非您更新并说您需要相关信息,否则我不会对此问题发表评论。
答案2
您正在寻找两种不同的方法来实现此目的:1. 域信任(简单):在两个域之间创建链接,以便您可以授予域中的用户访问域 B 中共享资源的权限,反之亦然。您还可以创建仅在一个方向上起作用的单向信任 2. 域迁移:将所有对象(用户、计算机等)从一个域移动到另一个域。ADMT(Active Directory 迁移工具)是您通常在此处使用的工具箱。如果两个域都安装了 Exchange Server,您还需要将邮箱从一个 Exchange 组织迁移到另一个 Exchange 组织(Exchange 和 Active Directory 林之间存在一对一的关系,因此您不能简单地在 AD 林之间移动交换)。
正如 Sam 指出的那样,这是一个需要反复测试、测试、再测试的过程!迁移本身并不复杂,但任何失误都可能带来灾难性的后果。
答案3
埃文·安德森将会给你一个很好的答案,但是在他出现之前,我可以给你一些东西来研究。
基本上,您有一个 Active Directory“树”。它是您的域。您的新公司也有一个。他们的“树”就是他们的域。您要做的就是将两棵“树”放在同一个“森林”中。我不是在耍小聪明,这些是实际术语。
我只知道技术上的知识足以让我知道我不知道答案。谷歌提供了一些良好的结果,但在做这件事之前一定要和了解的人谈谈。其他公司有没有比你更有 Windows 经验的人?
另外,我建议你购买一本适合你使用的 Windows Server 版本的 AD 书籍。它们很有启发性,作为一个 Linux 用户,看到他们的思维方式有时会有点不安,但它通常很有效。只是不同而已。
祝你好运!
答案4
尽可能缩短共存时间。同时运行两个域只会带来麻烦。如果一个 AD 明显优于另一个 AD(更好 = 更好的管理模型、监控等),(或者其中一个域的 DC 已过期),则将用户迁移到该域。否则,请设置一个新域并在预定义的时间段内迁移到该域。