Несколько доменов AD для разных отелей одной сети?

Question

Несколько доменов AD для разных отелей одной сети?

Я унаследовал существующую инфраструктуру группы отелей и пытаюсь отремонтировать эту инфраструктуру.

Отели (HotelA, HotelB и т. Д.) Изначально были настроены с одним доменом (и одним контроллером домена) каждый. Этим довольно сложно управлять, потому что у каждого отеля есть свой собственный домен (что означает, что нам приходится импортировать / экспортировать объекты групповой политики между доменами, чтобы убедиться, что все они стандартизированы, проблемы с инвентаризацией, проблемы с развертыванием программного обеспечения и т. Д.). Между доменами нет трастов.

Теперь у меня есть возможность объединить все "отдельные" гостиничные домены в большой домен, например ad.hotelgroup.com. Это хорошая идея или нет? Группа оказывает некоторое сопротивление, поскольку они хотят, чтобы каждый отель был фактически автономным, чтобы при продаже новому владельцу не требовалось дополнительной работы.

Однако я считаю, что управление одним доменом гораздо менее болезненно, чем управление несколькими доменами. Это также позволяет использовать несколько избыточных контроллеров домена и позволяет нам совместно использовать серверы MDT и WSUS, чего мы не могли делать раньше.

Что, вы парни, думаете?

5

windows active-directory domain domain-controller

Источник

ryanswj 22 дек '19 в 21:26

2 ответа

Другие вопросы по тегам windows active-directory domain domain-controller

bjoster 22 дек '19 в 21:42 2019-12-22 21:42 · Answer 1 · 2019-12-22 21:42

Это будет непростой ответ, так как нужно учесть множество вещей. Но в вашем посте есть несколько ключевых аргументов.

... поскольку они хотят, чтобы каждая гостиница была автономной, чтобы при продаже новому владельцу не требовалось дополнительных работ.

Это верный момент, и не будет простого способа сделать это в одном домене. Даже в одном лесу это иногда может быть немного сложно.

и позволяет нам совместно использовать серверы MDT и WSUS, чего мы не могли делать раньше.

MDT и WSUS не привязаны к домену и не аутентифицируются и могут выполняться через несколько доменов. Вам не нужно по одному на каждый домен.

ad.hotelgroup.com. Это хорошая идея или нет

Обычно да. Если ключевая особенность - "легкое разделение", скорее всего, нет.

Greg Askew 25 дек '19 в 19:58 2019-12-25 19:58 · Answer 2 · 2019-12-25 19:58

each hotel has its own domain... There are no trusts between domains..

Это не масштабируемая архитектура AD.

Даже если бы они одобрили и профинансировали это, что кажется маловероятным, я склонен думать, что преобразование этого было бы за пределами возможностей и желания организации к изменениям. Когда было принято решение о текущей архитектуре, они по существу нажали ****-it и признал, что разумное управление технологиями и архитектурой не является приоритетом.

Возможно, вы захотите создать лес управления и настроить каждый из доменов / лесов на доверие этому лесу. Это поможет с некоторыми, но не всеми проблемами, создаст минимальное трение и сохранит существующую архитектуру.