合并/收购后的Active Directory合并策略

我打算废止一个Active Directory森林并将其废弃。 维护一个多域，更不用说多森林，活动目录只是一个痛苦。

如果在森林中没有大量的用户/计算机或复杂的文件系统权限，我甚至不会用像Active Directory迁移工具这样的工具。

迁移工具很适合快速完成某些工作，但是如果您有时间在林间build立信任关系并谨慎地进行迁移，则可以将所有依赖于Active Directory的文件权限，应用程序和其他服务都视为真正的顶级域名，并且以受控和协调的方式将收购的公司吸收到你的Active Directory中，而不是从他们的AD中拿出很多的行李，这将成为未来几年脖子上的“遗留”磨刀石。 。

我会在林之间build立信任关系，以便来自一个域的用户可以login到另一个域中的计算机。 然后，客户端计算机的域成员变得有些不相关。 我会将目标域的多个域控制器部署到收购的公司办公室。 尽pipe如此，您甚至可以将这些虚拟机作为虚拟机部署在现有的域控制器上。

我想知道什么样的组策略被用于森林废弃，并在目的地森林里放置站点和OU来容纳计算机。 你可能会发现，他们并没有真正使用组策略（看起来令人沮丧的是，在Active Directory和组策略出现9年之后仍然如此），但是肯定会给它一些想法。

我会使用“NETDOM”工具部署一个启动脚本（请参阅http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx ）将客户端计算机与正在使用的森林分离并join到目的地森林。 用户login将继续按照森林用户的使用习惯进行工作。

是否从林中迁移用户和组将取决于用户和组的数量以及在目标林中仅重新创build用户，组和ACL文件系统的难度。

你没有提到Exchange。 如果Exchange在发挥作用，您可以跨森林/跨组织邮箱迁移来担心。 我不会评论这个问题，除非你更新并说你需要关于它的信息。

您正在寻找两种不同的方式来执行此操作：1.域信任（简单）：在两个域之间创build一个链接，以便您可以为域中的用户提供对域B中共享资源的访问权限，反之亦然。 您也可以创build一个只能在一个方向工作的单向信任2.域迁移：将所有对象（用户，计算机等）从一个域移到另一个域。 ADMT（Active Directory迁移工具）是您通常在此使用的工具箱。 如果两个域都安装了Exchange Server，那么您也正在查看从一个Exchange组织到另一个Exchange组织的邮箱迁移（Exchange和Active Directory林之间存在一对一的关系，因此您不能简单地将exhcange AD森林之间）。

正如Sam所指出的，这是一个你想要testing，testing和testing更多的地方！ 迁移本身并不那么复杂，但任何搞砸都可能是灾难性的。

埃文·安德森（Evan Anderson）会给你一个很好的答案，但在他出现之前，我可以给你一些东西来研究。

基本上，你有一个活动目录“树”。 这是你的领域。 你的新公司也有一个。 他们的“树”是他们的领域。 你想要做的是把两个“树”放在同一个“森林”。 我不是很可爱，这是实际的条款。

我只知道技术上足够的知道，我不知道答案。 Google提供了一些好看的结果 ，但是在你做之前一定要跟一个知道的人交谈。 另一家公司有没有人拥有更多的Windows体验？

另外，我build议您为您使用的Windows Server版本select一本AD书。 他们是有启发性的，作为一个Linux的家伙，看到他们的思维方式有点令人不安，但它通常是有效的。 这是不一样的。

祝你好运！

通常情况下，您最终将使用诸如ADMT或Quest之类的方法将所有相关对象（用户，组，计算机，服务器等）从一个公司拥有的域中迁移到另一个域中。

这需要一些重要的计划，您需要根据应用程序来查看应用程序上的服务器。 有些事情是相当容易移动例如文件和打印服务器，而其他如SQL / SharePoint更涉及。

ADMT和类似的工作可以为你做所有的机器的接触工作，也可以做复印的工作。

保持共存的时间尽可能短。 运行这两个域将只会导致麻烦。 如果一个AD显然比另外一个更好（在哪里更好=更好的pipe理模式，监控等），（或者DC在一个生命周期结束时）将用户迁移到那个。 否则，请设置一个新域并在预定义的时间段内迁移到该域。