我们为许多中小型企业提供托管 IT 服务。我正在寻找一种解决方案，以可扩展的方式管理我们对客户 AD 林的访问。

目前，我们在 AD 中手动创建自己的登录名，并赋予足够的权限。您可以想象，随着我们增加员工并需要能够撤销密码等，这种方法的扩展性并不好……这需要手动登录每个客户端来更新 AD。

对于几乎所有的客户，我们都管理他们的整个 IT 基础设施，包括 AD、所有服务器、网络等……因此，如果我们能够获得可靠的解决方案，我们应该能够合理地修改客户的 AD 配置以实现我们的目标。

我们还提供托管服务，因此我们拥有可靠的方法来托管我们自己的基础设施，以供客户同步。

我想要的

• 一种能够跨站点/林等集中管理多个客户 AD 帐户的方法...

• 最好的情况下，我们会为客户 AD 中的每个技术人员创建自己的帐户，这样我们就有一定程度的责任，并且访问策略可以更加细化。

• 显然，上述观点引发了污染客户 AD 的担忧（尽管我们目前人手不多），因此我们希望尽量避免客户必须不断看到我们的用户。这当然是一个棘手的问题，但也许只需将我们的用户放在单独的 OU 中就可以部分解决这个问题。

• 我们的主要目标是简化招聘/解雇流程，并减少人为错误的可能性（例如，在解除访问限制期间忘记禁用客户 X 的访问权限）。因此，密码重置、禁用用户等应该在一定程度上同步。我认为权限问题不大，因为它们可能以每个客户为基础。

• 多平台也是一个目标。我们还需要能够管理路由器和 Linux 机器，RADIUS 似乎是显而易见的选择。

• 服务器大部分是 Windows 2008 R2，有些是 Windows 2012，有些是 Linux，还有 Cisco 和 Juniper 设备。

• 我应该补充一点，RADIUS 等... 不应该是 AD 的唯一来源。目标是让客户现有的 AD 帐户满足他们的需求，然后从 RADIUS 导入我们自己的帐户。

我尝试过的方法

到目前为止，我一直专注于以某种方式将 RADIUS 帐户集成到 AD 中 - 但我发现的一切更多都是关于使用 AD 作为 AD 集成的主源，而我想要更多相反的东西。

我认为 RAIDUS 对我们来说很有意义，因为我们的很多托管基础设施都是非 Windows 的，尽管我们的客户主要是基于 Windows。而且我们也希望为我们的 DSL 尾部提供 RADIUS 身份验证。为所有员工帐户提供单一真实来源是有意义的。

非常有兴趣听听处于类似情况的人是如何解决这个问题的，因为我在网上没有找到太多相关信息。

谢谢。