我们有很多小客户,他们有几个分支机构(约 5 个客户端,没有服务器)。没有基础设施,他们也没有任何 IT 人员。出于管理原因,我们希望客户成为域的一部分。我们有一个根林/域,并希望将客户添加到我们的基础设施中。由于 Active Directory 不是为多租户设计的,我们目前正在评估信任关系。为了实现这一点,重要的是客户不能访问/枚举其他客户的 AD。
考虑到这一点,下列哪种方案可行且哪种方案可能是最好的?
a) 独立森林
b) 一个森林,多个独立域
c) 一个带有子域的林
此外,如果我们可以使用单一交换组织就更好了。任何建议都非常感谢。
答案1
活动目录
如果您确实希望为每个客户提供 Active Directory,那么最好的解决方案是为每个组织提供单独的 AD 林,并且它们之间不存在任何信任。您需要在每个组织中至少有一台服务器才能实现此目的。
您不应在所有客户域之间创建单一林或建立任何信任。这是因为客户不必访问彼此的资源(因此不需要信任)
从技术上来说,多个组织可以共用一个域名。但对于你的情况来说,这不是一个可行的解决方案,而且是一个非常糟糕的想法。
但是,如果您的客户主要是 5 家 PC 公司,这些公司可能在办公室没有服务器,那么您应该完全避免使用 Active Directory。尝试研究设备管理解决方案(例如 Microsoft Intune)并将您的客户转移到云管理平台(例如 Azure Active Directory)
交换
至于 Exchange,您的选择是:
1) Exchange Online - 向您的客户销售 Office 365 计划,最低价格为每邮箱每月 4 美元 2) 在您的服务器上托管 Exchange。您成为服务提供商并支持所有服务器、基础设施、安全等。这需要投资和管理费用,并且只有在您拥有大量客户群时才有意义
选择选项 1 要容易得多,只需从销售计划中获取利润,而无需选项 2 带来的所有费用。此外,选项 1 还附带之前提出的解决方案,即使用 Azure AD 和基于云的设备管理解决方案。
答案2
出于管理原因,我们希望客户端成为域的一部分。
我曾与多家托管服务提供商合作过,但他们都没有这样做。有很多理由说明这不是一个好主意。
如果您需要简化为客户管理和管理 IT 资产和基础设施的方式,那么您应该投资高质量的 RMM。
答案3
你肯定希望它们位于不同的森林中。这是迄今为止的行业标准。如果出了问题,而这是一个促成因素,那么你可能会遇到一些责任问题,因为你没有遵循通常被认为是行业标准的东西。
我见过一些组织做的事情是建立所谓的红色森林。我相信微软现在称之为 ESAE(增强安全管理环境)。这里面有权衡。
https://www.google.com/search?q=enhanced+security+administrative+environment