Ваш подход является в основном способом, которым я приблизился бы к нему.
Единственные вещи, которые я добавил бы, являются ими:
1) Я добавил бы к Вашей "ролевой" схеме путем оценки того, в чем они нуждаются через серверы не всего на одном сервере, Вы, вероятно, собираетесь столкнуться с выбросами к этому, но моя теория с теми состоит в том, когда Вы сталкиваетесь с ними, создаете другую группу. по моему опыту, где существует одна изолированная часть существуют многие.
2) Я был бы СИЛЬНО re-evalute потребность в Универсальных группах для всего, поскольку Вы получаете удар репликации с ними, поскольку участники и группы в Универсальной группе копируются в Глобальные серверы Каталога, в то время как с Доменом, Локальным и Глобальным только, группа копируется в глобальные серверы каталога. Таким образом, при внесении изменения в универсальной группе, это начинает репликацию, в то время как с глобальным и доменным, локальным, это не делает.
Вряд ли Вы сможете вытащить пароли из OpenLDAP, если он не будет работать способом, отличающимся, чем типичный каталог.
То, что некоторые клиенты делают в этом сценарии, встают средний слой для аутентификации что первые проверки пароль пользователя против источника, и затем пишет это в AD, если это допустимо до аутентификации их. Если Вы сделаете это с несколькими ключевыми сервисами, то за короткий промежуток времени Вы получите большинство паролей.
Для импорта, если можно вывести данные в формате CSV, работы CSVDE хорошо для импорта объема в AD. Мы недавно переместили несколько сотен пользователей от eDirectory до AD с этим, и он пошел очень хорошо. Я не могу ответить на Ваш вопрос пароля, как тогда, когда мы сделали это, мы просто устанавливаем, "должен измениться, пароль на следующем входе в систему" укусил и заставил пользователей делать это самих.