我们为一些中小型企业提供托pipeIT服务。 我正在寻找一种解决scheme,以可扩展的方式pipe理我们访问我们客户的AD森林。
现在,我们在AD中手动创build自己的login,并拥有足够的权限。 正如你可以想象的,这不能很好地扩展,因为我们获得员工和需要能够撤销密码等…涉及手动login到每个客户端更新广告。
对于我们几乎所有的客户,我们都pipe理着他们的整个IT基础架构,包括AD,所有的服务器,networking等。所以如果我们能够获得可靠的解决scheme,我们应该能够合理地修改客户端的ADconfiguration来实现我们的目标。
我们也做托pipe的服务,所以我们有一个可靠的方式来托pipe我们自己的基础设施,供客户同步回去。
一种能够集中pipe理多个客户,跨站点/森林等的AD帐户的方法…
我们最好转换为在客户的AD中为我们的每一位技术人员创build自己的账户,因此我们有一定程度的责任心,并且访问策略可以更细化。
显然,上述观点引起了客户AD的污染(尽pipe我们现在没有太多的人),所以我们要尽量避免客户不得不经常看到我们的用户。 这当然是一个棘手的问题,但也许简单地把我们的用户放在一个单独的OU中就可以部分地解决这个问题。
我们的主要目标是简化招聘/解雇stream程,并减less人为错误的可能性(例如,在访问分解期间错过禁用客户X的访问)。 因此,密码重置,禁用用户等应该在一定程度上同步。 我认为权限不是一个问题,因为无论如何它们可能是以每个用户为基础的。
多平台也是一个目标。 我们需要能够pipe理路由器和Linux机器,RADIUS似乎是一个明显的select。
服务器主要是Windows 2008 R2,包括一些Windows 2012,一些Linux,思科和Juniper设备。
我应该添加RADIUS等…不应该是AD的唯一来源。 目标是让客户现有的AD帐户满足他们的需求,然后从RADIUS导入我们自己的AD帐户。
到目前为止,我一直关注如何将RADIUS帐户集成到AD中 – 但是我发现的一切都是关于使用AD作为AD集成的主要来源,而我想要更多的是相反的。
我认为RAIDUS对我们很有意义,因为我们的托pipe基础设施很多都是非Windows的,尽pipe我们的客户主要是基于Windows的。 我们正在为我们的DSL尾巴提供RADIUSauthentication,无论如何。 对于所有员工账户拥有单一的事实来源是有意义的。
非常有兴趣听到类似情况的人们能够解决这个问题,因为我没有在网上find太多的东西。
谢谢。
曾经听说过信任关系? 让客户域名信任你的域名。 或者是一个特定的服务人员域。
信托本身不给予任何权利。 您仍然必须将用户添加到respüecitve组 – 只信任允许和“信任”来自域X的用户A是来自DOmain X的用户A(并且恰好在我的组中拥有权限)。