同一连锁酒店的不同酒店有多个 AD 域吗?

同一连锁酒店的不同酒店有多个 AD 域吗?

我正在继承一家酒店集团现有的基础设施,并试图彻底改革该基础设施。

这些酒店(HotelA、HotelB 等)最初都设置了一个域(和一个域控制器)。这有点难以管理,因为每家酒店都有自己的域(这意味着我们最终不得不跨域导入/导出 GPO,以确保它们都是标准化的,库存问题、软件部署问题等)。域之间没有信任。

我现在有机会将所有“单个”酒店域名合并为一个大域名,例如 ad.hotelgroup.com。这是个好主意吗?集团对此有些反对,因为他们希望每家酒店都能真正独立,这样当酒店出售给新主人时就不需要做额外的工作了。

不过,我认为管理单个域比管理多个域要轻松得多。它还允许有多个冗余 DC,并允许我们共享 MDT 和 WSUS 服务器,这是我们以前无法做到的。

你们有什么感想?

答案1

这个问题很难回答,因为需要考虑很多事情。但您的帖子中有几个关键论点。

.. 因为他们希望每家酒店都是独立的,这样当它被卖给新主人时就不需要做额外的工作了。

这个观点很有道理,而且在一个域中很难做到这一点。即使在一个森林中,有时这也有点棘手。

并允许我们共享 MDT 和 WSUS 服务器,这是我们以前无法做到的。

MDT 和 WSUS 不受域限制或身份验证,可通过多个域运行。您不需要每个域都安装一个。

ad.hotelgroup.com。这是个好主意吗?

通常情况下是的。如果关键特征是“容易分离”,那么很可能不是。

答案2

each hotel has its own domain... There are no trusts between domains.

这不是一个可扩展的 AD 架构。

即使他们确实批准并资助了它(这似乎不太可能),我倾向于认为转换它超出了该组织的能力和变革意愿。当针对当前架构做出决定时,他们基本上按下了****“它”按钮,并承认合理的技术管理和架构不是优先事项。

您可能需要考虑创建一个管理林,并配置每个域/林以信任该林。这将有助于解决一些问题(但不是所有问题),将摩擦降到最低,并保留现有架构。

相关内容