我所在的公司为多家不同的公司托管桌面。目前,所有客户端都访问一个名为 HOSTING 的域控制器。该域控制器下有针对每个公司的群组。
每个托管服务器都位于同一网络上,因此其他终端服务器可能可以浏览。这引发了一些安全问题,我发现管理安全性有点棘手。此外,即使其他用户看不到他们的数据,也可以看到其他托管公司是谁。
我想做的是将每个客户端终端服务器隔离到他们自己的 VLAN 中。此外,我认为每个 TS 都有自己的 DC,该 DC 可以在该公司的 TS 上运行。DC 的开销相当小。这将使该 TS 上的用户完全无法看到其他公司。
首先,这听起来是个合理的计划吗?
第二...如果合理的话,我该如何将帐户从 HOSTING 域拉到新域?理想情况下,无需用户更改密码?
答案1
ADMT 确实适合将帐户迁移到新林。但是...您真的应该为每个客户构建一个专用的 AD 林吗?这可能很快就会变得很困难。如果您的业务只有少数几个客户,那么这可能不是什么大问题。但如果您有很多客户并且希望发展,事情就会变得更加困难。
我鼓励您在此处阅读有关 Microsoft 的 HMC(托管消息和协作)平台的信息。它并不直接适用于您的环境,因为它主要由托管 Exchange/Sharepoint/OCS/网站的公司使用,但该平台指定了一个 AD 基础架构,允许托管公司在同一 AD 林中运行具有数千个客户的多租户配置。它也不会否定他们拥有专用服务器的能力。这不是火箭科学,但它可能会为您提供一些关于如何更好地锁定 AD 的想法,如果这确实是您的问题之一。请注意,HMC 将随着下一代 Microsoft 后台办公应用程序(Exchange 2010、Sharepoint 2010 等)而消失,因此您可能不想真正使用 HMC,但您可能会从中收集一些有用的信息。
除了 Windows 内容之外,我可以看到您的专用 VLAN 配置如何运行良好。
答案2
这似乎是一个非常明智的计划。看看微软的腺病毒。我之前曾将其用于 AD 迁移,效果非常好。