我正在继承一家酒店集团现有的基础设施,并试图彻底改革该基础设施。
这些酒店(HotelA、HotelB 等)最初都设置了一个域(和一个域控制器)。这有点难以管理,因为每家酒店都有自己的域(这意味着我们最终不得不跨域导入/导出 GPO,以确保它们都是标准化的,库存问题、软件部署问题等)。域之间没有信任。
我现在有机会将所有“单个”酒店域名合并为一个大域名,例如 ad.hotelgroup.com。这是个好主意吗?集团对此有些反对,因为他们希望每家酒店都能真正独立,这样当酒店出售给新主人时就不需要做额外的工作了。
不过,我认为管理单个域比管理多个域要轻松得多。它还允许有多个冗余 DC,并允许我们共享 MDT 和 WSUS 服务器,这是我们以前无法做到的。
你们有什么感想?
答案1
这个问题很难回答,因为需要考虑很多事情。但您的帖子中有几个关键论点。
.. 因为他们希望每家酒店都是独立的,这样当它被卖给新主人时就不需要做额外的工作了。
这个观点很有道理,而且在一个域中很难做到这一点。即使在一个森林中,有时这也有点棘手。
并允许我们共享 MDT 和 WSUS 服务器,这是我们以前无法做到的。
MDT 和 WSUS 不受域限制或身份验证,可通过多个域运行。您不需要每个域都安装一个。
ad.hotelgroup.com。这是个好主意吗?
通常情况下是的。如果关键特征是“容易分离”,那么很可能不是。
答案2
each hotel has its own domain
... There are no trusts between domains.
。
这不是一个可扩展的 AD 架构。
即使他们确实批准并资助了它(这似乎不太可能),我倾向于认为转换它超出了该组织的能力和变革意愿。当针对当前架构做出决定时,他们基本上按下了****
“它”按钮,并承认合理的技术管理和架构不是优先事项。
您可能需要考虑创建一个管理林,并配置每个域/林以信任该林。这将有助于解决一些问题(但不是所有问题),将摩擦降到最低,并保留现有架构。