Создание мультитенантной среды AD

В настоящее время у нас есть следующая среда (размещенная на сервере 2003 и терминальные серверы на 2008 R2), и нам нужно обновить ее до версии 2012 года. Мы создадим новую среду с нуля.

Контроллеры домена

  • DC01
  • DC02

Файловый сервер

  • File01

Exchange сервер

  • Exchange01

Терминальные серверы

  • TS_ClientA
  • TS_ClientB
  • TS_ClientC

У каждого клиента есть собственное подразделение в нашей AD, и, используя запреты (ADSIedit), они не могут видеть друг друга в Exchange, а также как обычные объекты (например, для разрешений для папок).

Мы не хотим снова использовать эти приемы, а имеем хорошо продуманный дизайн активной директории.

Теперь, я гуглил это, но не кажется, что это возможно (по крайней мере, изначально). Нам все еще нужно использовать adsiedit и делать трюки, чтобы получить мультитенантную среду. Что касается Exchange, мы думали об использовании Office 365 для клиентов.

Я хотел бы знать, что я что-то неправильно понял или что-то не хватает для создания мультитенантной среды 2012 R2.

3 ответа

Разрешения по умолчанию в Active Directory не настроены для мультитенантной среды. Вам нужно будет внести изменения в разрешения на акции, чтобы выполнить то, что вы ищете. Это просто характер дизайна продукта.

Если вы можете уйти от одного леса AD и перейти к нескольким лесам учетных записей без доверительных отношений друг с другом (что, возможно, позволяет активировать лицензию Windows Server 2012 Datacenter), вам придется гораздо меньше "взламывать" разрешения AD, поскольку леса являются границей атомной безопасности. В этом типе сценария вы бы поддерживали лес (ы) ресурсов с односторонними непереходными доверительными отношениями с лесами учетных записей.

Хотя Эван прав в том, что вы действительно не можете делать то, что хотите, не взламывая ACL-списки разрешений в ADSIEdit, но я подумал, что остановлюсь и упомяну альтернативный подход, который я использовал для достижения хорошего эффекта в больших производственных средах:

Вы можете создать мультитенантный проект с Active Directory, используя режим списка объектов. Прочтите все об этом здесь:

https://www.myotherpcisacloud.com/post/2013/05/20/Active-Directory-List-Object-Mode.aspx

Режим List Object по-прежнему считается "взломом разрешений", но он намного чище, чем использование Deny ACE для всего.

Хотя вы не можете использовать метод ADSIEdit в Exchange Server 2010 или 2013, вы можете использовать мультитенантную возможность Exchange Server 2010 или 2013. Гораздо более простым решением (и тем, которое я использовал с клиентом с аналогичными потребностями) является использование Политики адресной книги в Exchange Server 2010 или 2013 для обеспечения необходимого разделения и изоляции.

http://technet.microsoft.com/en-us/library/hh529948(v=exchg.150).aspx

Другие вопросы по тегам