none
свести в один глобальный каталог более 10 разных доменов RRS feed

  • Вопрос

  • Добрый день.

    Есть идея для упрощения администрирования кучи доменов все свести в единый Глобальный Каталог, для единой точки управления. Пожалуйста подскажите статью для почитать и разобраться что бы не накосячить.

    4 июня 2018 г. 19:01

Ответы

  • Вообще-то Глобальный каталог в Windows - это единая точка поиска, а не управления: серверы глобального каталога (коими в наше время обычно являются все контроллеры домена) содержат не только свою копию раздела домена (доступную по записи), но и доступные только для чтения (и несколько усеченные - части атрибутов в них нет) копии разделов других доменов.

    А для управления содержимым разделов доменов все равно приходится обращаться на контроллеры соответствующих доменов с соответствующими учетными данными. Другое дело, что внутри одного леса достаточно использовать для управления любым доменом единственную учетную запись, принадлежащую группе Администраторы предприятия - и это создает иллюзию единой точки управления (но попробуйте отключить связь с контроллерами какого-либо домена - иллюзия враз развеется).

    Ну, а если домены не входят в один лес, то поддержание этой иллюзии, с выбором нужных учетных данных для каждого домена - чисто ваша задача. Стандартных средств для этого у MS  AFAIK нет. Но у сторонних фирм - могут быть, обычно - за деньги, а т.к. потребность в таких средствах характерна для уровня Enterprise  - за немалые деньги.


    Слава России!

    • Предложено в качестве ответа Alexander RusinovModerator 5 июня 2018 г. 4:20
    • Помечено в качестве ответа sondrex_ 5 июня 2018 г. 4:47
    4 июня 2018 г. 19:21

Все ответы

  • нарисуйте схему доменов, с IP адресацией.
    А так миграция уз. в другой домен с помощью ADMT.
    4 июня 2018 г. 19:03
    Модератор
  • нет необходимости мигрировать всех в один домен, я бы хотел иметь только единую точку управление что бы не ходить по кучи серверов, это возможно?
    4 июня 2018 г. 19:08
  • Вообще-то Глобальный каталог в Windows - это единая точка поиска, а не управления: серверы глобального каталога (коими в наше время обычно являются все контроллеры домена) содержат не только свою копию раздела домена (доступную по записи), но и доступные только для чтения (и несколько усеченные - части атрибутов в них нет) копии разделов других доменов.

    А для управления содержимым разделов доменов все равно приходится обращаться на контроллеры соответствующих доменов с соответствующими учетными данными. Другое дело, что внутри одного леса достаточно использовать для управления любым доменом единственную учетную запись, принадлежащую группе Администраторы предприятия - и это создает иллюзию единой точки управления (но попробуйте отключить связь с контроллерами какого-либо домена - иллюзия враз развеется).

    Ну, а если домены не входят в один лес, то поддержание этой иллюзии, с выбором нужных учетных данных для каждого домена - чисто ваша задача. Стандартных средств для этого у MS  AFAIK нет. Но у сторонних фирм - могут быть, обычно - за деньги, а т.к. потребность в таких средствах характерна для уровня Enterprise  - за немалые деньги.


    Слава России!

    • Предложено в качестве ответа Alexander RusinovModerator 5 июня 2018 г. 4:20
    • Помечено в качестве ответа sondrex_ 5 июня 2018 г. 4:47
    4 июня 2018 г. 19:21
  • нет необходимости мигрировать всех в один домен, я бы хотел иметь только единую точку управление что бы не ходить по кучи серверов, это возможно?
    все домены юридически принадлежат одной компании?
    4 июня 2018 г. 19:41
    Модератор
  • Ну, а если домены не входят в один лес, то поддержание этой иллюзии, с выбором нужных учетных данных для каждого домена - чисто ваша задача. Стандартных средств для этого у MS  AFAIK нет.

    Можно попробовать PAM. Все 10 доменов доверяют одному домену-бастиону, из которого всё управляется.
    Модератор
  •  PAM смотрел но это только усложнит