Создание многопользовательской AD среды
У нас в настоящее время есть следующая среда (размещенный на сервере 2003 и серверы терминалов на 2 008 R2), и мы должны обновить это до их 2 012 версий. Мы создадим новую среду с нуля.
Контроллеры домена
- DC01
- DC02
Файловый сервер
- File01
Exchange Server
- Exchange01
Терминальные серверы
- TS_ClientA
- TS_ClientB
- TS_ClientC
У каждого клиента есть их собственный OU в нашем AD, и использование отклоняет (ADSIedit), они не видят друг друга в обмен и ни одного как обычные объекты (как для полномочий папки).
Мы не хотим использовать эти приемы снова и скорее иметь, хорошо продумал активный дизайн каталога.
Теперь, я погуглил на этом, но не кажется, что это возможно (по крайней мере, исходно). Мы все еще должны использовать adsiedit и сделать приемы для получения много среды арендатора. Относительно Exchange мы думали об использовании Office 365 для клиентов.
Я хотел бы знать, неправильно понял ли я что-то или если существует что-либо, что я пропускаю для создания много среды R2 арендатора 2012 года.
Разрешения по умолчанию в Active Directory не настроены для многопользовательского окружения. Вам придется внести изменения в права доступа к фондовому ресурсу, чтобы выполнить то, что вы ищете. Это просто природа дизайна продукта.
Если вы можете уйти из одного леса AD и перейти в несколько лесов учетных записей без доверительных отношений друг с другом (что, возможно, поможет включить лицензию Windows Server 2012 Datacenter), вам придется делать гораздо меньше "хакерских" AD разрешений, поскольку леса являются границей атомарной безопасности. Вы будете поддерживать лес(ы) ресурсов с односторонними интранзитными отношениями доверия к лесам учетных записей в этом типе сценариев.
Хотя вы не можете использовать ADSIEdit метод в Exchange Server 2010 или 2013, вы можете использовать многопользовательские возможности Exchange Server 2010 или 2013. Гораздо более простым решением (и тем, которое я использовал с клиентом со схожими потребностями) является использование политик адресной книги в Exchange Server 2010 или 2013 для обеспечения разделения и изоляции, которые вам нужны.
http://technet.microsoft.com/en-us/library/hh529948(v=exchg.150).aspx
Хотя Эван прав в том, что вы не можете делать то, что хотите, не взломав ACL разрешения в ADSIEdit, я подумал, что стоит упомянуть альтернативный подход, который я использовал для хорошего эффекта в больших производственных средах до этого:
Вы можете достичь многопользовательского дизайна с Active Directory, используя режим List Object Mode. Читайте все об этом здесь:
https://www.myotherpcisacloud.com/post/2013/05/20/Active-Directory-List-Object-Mode.aspx
Режим списка объектов все еще считается "взломом прав", но это чертовски чище, чем ставить Deny ACE на все.
.