我们目前拥有以下环境(托管在服务器 2003 上,终端服务器托管在 2008 R2 上),我们需要将其升级到 2012 版本。我们将从头开始创建一个新环境。
域控制器
- DC01
- DC02
文件服务器
- 文件01
Exchange 服务器
- Exchange01
终端服务器
- TS_客户端A
- TS_客户端B
- 客户端C
每个客户端在我们的 AD 中都有自己的 OU,并且使用拒绝(ADSIedit),他们无法在 Exchange 中看到彼此,也无法将其作为普通对象(例如文件夹权限)。
我们不想再次使用这些技巧,而是希望有一个深思熟虑的活动目录设计。
现在,我已经在 Google 上搜索过这个问题,但似乎这是不可能的(至少在本地是不可能的)。我们仍然需要使用 adsiedit 并采取一些技巧来获得多租户环境。关于 Exchange,我们考虑为客户端使用 Office 365。
我想知道我是否误解了什么或者在创建多租户 2012 R2 环境时我是否遗漏了什么。
答案1
Active Directory 中的默认权限不是为多租户环境设置的。您必须修改现有权限才能实现所需功能。这就是产品设计的本质。
如果您可以摆脱单个 AD 林并转移到彼此之间没有信任关系的多个帐户林(可以说,Windows Server 2012 Datacenter 许可证有助于实现这一点),那么您将不必“破解”AD 权限,因为林是原子安全边界。在这种情况下,您将维护具有与帐户林的单向不传递信任关系的资源林。
答案2
尽管 Evan 是对的,如果你不破解 ADSIEdit 中的权限 ACL,你就无法真正做你想做的事情,但我想我会继续提一种我以前在大型生产环境中使用过的、效果很好的替代方法:
您可以使用列表对象模式通过 Active Directory 实现多租户设计。在此处阅读全部内容:
https://www.myotherpcisacloud.com/post/2013/05/20/Active-Directory-List-Object-Mode.aspx
列出对象模式仍然算作“破解权限”,但它比在所有东西上都放置拒绝 ACE 要干净得多。
答案3
虽然您不能在 Exchange Server 2010 或 2013 中使用 ADSIEdit 方法,但您可以使用 Exchange Server 2010 或 2013 的多租户功能。一个更简单的解决方案(我曾与有类似需求的客户一起使用过)是在 Exchange Server 2010 或 2013 中使用通讯簿策略来提供您需要的分离和隔离。
http://technet.microsoft.com/en-us/library/hh529948(v=exchg.150).aspx