我为一家为许多不同公司提供台式机的公司工作。 目前,所有客户端都访问一个名为HOSTING的域控制器。 在那之下是每个公司的团体。
每个托pipe服务器都存在于同一个networking中,因此可能被其他terminal服务器浏览。 这提出了一些安全问题,我发现pipe理安全有点棘手。 同样,有可能看到其他托pipe公司是谁,即使其他用户也看不到他们的数据。
我想要做的是将每个客户terminal服务器隔离到自己的VLAN中。 另外,我想每个TS都有自己的DC,可以在该公司的TS上运行。 DC的开销相当小。 这会使TS上的用户无法完全看到其他公司。
首先,这听起来像一个明智的计划?
第二…如果是明智的,我将如何去把帐户从主机域拉到新域? 理想情况下,用户不需要更改密码?
ADMT适合将帐户迁移到新的森林。 但是…你真的应该为每个客户build立一个专门的AD森林吗? 这可能会很快变得困难。 如果你的业务是这样的,你只有less数的客户,这可能是没有什么大不了的。 但是,如果你有很多顾客,如果你希望成长,事情会变得更加困难。
我鼓励你在这里阅读微软的HMC(托pipe消息和协作)平台。 它不直接适用于您的环境,因为它主要由托pipeExchange / Sharepoint / OCS / Web站点的公司使用,但该平台指定了一个AD架构,允许托pipe公司运行多租户configuration,相同的AD森林。 它并不否定它们拥有专用服务器的能力。 这不是火箭科学,但它可能会给你一些关于如何更好地locking你的AD的想法,如果这确实是你的问题之一。 请注意,HMC正在开发下一代Microsoft后台应用程序(Exchange 2010,Sharepoint 2010等),因此您可能不想实际使用HMC,但可能会从中收集一些有用的信息。
独立于Windows的东西,我可以看到你的专用VLANconfiguration可能会工作得很好。
这似乎是一个非常明智的计划。 看看微软的ADMT 。 我之前用过AD Migrations,效果很好。