Есть холдинг, у него порядка 15 удаленных подразделений, в каждом подразделение есть как минимум 1 сервер, сейчас они каждый в своем домене.
Собственно задача, всех их объединить. Главные домен контроллер, он же vpn сервер и маршрутизатор под сетей(это уже другой вопрос), а сейчас про домены.
Каждый домен(региональное подразделение) со своей под сети 192.168.x.0/24, в каждой под сети 1 домен контроллер под домена в дереве доменов...эва как завернул.
И собственно сами вопросы хбуууумсъ
Как сделать единую базу пользователей?
Можно ли, не делая единую базу пользователей, добавлять юзера в группы из разных доменов?(пробовал но что то они не изменяются(т.е. я прописал но другом домене юзера,указал ему группу из другого домена, захожу в другой домен...и нифига)
Если в главном домене применить общую политику безопасности, в под доменах она будет принята? или в каждом домене в ручную это делать?
Как существующие домены со всем барахлом понизить до под домена и при этом что у юзеров на рабочем столе и сертификаты для всякого рода банк клиентов и систем отчетностей все сохранилось?

в каждом подразделение есть как минимум 1 сервер, сейчас они каждый в своем домене. »
И у каждого отдельный лес AD?

Как сделать единую базу пользователей? »
думаю что вам стоит посмотреть на сайтовую структуру, вместо поддоменов.
возможно это окажется более удобным решением.
Можно ли, не делая единую базу пользователей, добавлять юзера в группы из разных доменов?(пробовал но что то они не изменяются(т.е. я прописал но другом домене юзера,указал ему группу из другого домена, захожу в другой домен...и нифига) »
не совсем понятно о чём речь.
Как существующие домены со всем барахлом понизить до под домена и при этом что у юзеров на рабочем столе и сертификаты для всякого рода банк клиентов и систем отчетностей все сохранилось? »
мигрировать пользователей через USMT, хотя БК обычно не имеют привязки к вашему домену.

читайте про сайты и трастовые (доверительные) отношения между доменами.

я ни разу не слышал, чтобы можно было существующий домен перевести в ранг дочернего домена (т.е. поддомена, как вы пишите).

я ни разу не слышал, чтобы можно было существующий домен перевести в ранг »
почему?
логически можно сконструировать вот такую штуку

есть домен domain.corp.spb.ru надо его сделать "дочкой".
Создаем домен corp.spb.ru, налаживаем трасты и все.

Появляется уродство в виде папы и дочки. Это изначально неправильно (я не рекомендую так делать...) и политики как вы хотите работать там не будут.

В вашем случае правильнее создать один домен (желательно на Windows 2008 R2 т.к. это дает полезняшку в виде RODC) с множеством сайтов (сайт равен одной физической площадке)

есть домен domain.corp.spb.ru надо его сделать "дочкой".
Создаем домен corp.spb.ru, налаживаем трасты и все. »
дочка и трасты - разные вещи.

Появляется уродство в виде папы и дочки. Это изначально неправильно (я не рекомендую так делать...) и политики как вы хотите работать там не будут. »
всё там работает.

дочка и трасты - разные вещи. »
в данном контексте речь идет о трастах.
всё там работает. »
у папы и дочки?
или в трасторых доменах?

В любом случае итогом будет превильное планирование одного домена (если позволяет политика организации) и миграция в него всех существующих ресурсов.

у папы и дочки?
или в трасторых доменах? »
и там и там.
В любом случае итогом будет превильное планирование одного домена »
тут уже не планирование, а перестройка. это идеальный вариант.

и там и там. »
Вы считаете что при трастах будут работать политики из соседнего домена?
Сомневаюсь...
а перестройка. это идеальный вариант »

перестройка без грамотного планирования или хотя бы понимания того что должно получиться в итоге крайне сложна.

предлагаю долждаться ТС, что бы, хотя бы понять, это домены в одном лесу? или это просто набор лесов? =)
ато пока что мало понятно.
а вообще поддерживаю zero55, лучше хорошенько подумать один раз, и перестроить инфраструктуру.
судя по теме компания может себе позволить небольшие простои на время миграции инфраструктур.

Вы считаете что при трастах будут работать политики из соседнего домена?
»
конечно нет, а где это заявлено? под "всё" я имел ввиду все отношения работают как надо. А политики - они только доменные, а не трастовые.

Ждёмс ТС.

Вы считаете что при трастах будут работать политики из соседнего домена?
Сомневаюсь... »
Напрасно сомневаетесь. Есть такое поведение пользовательских политик:
Если пользователь леса А входит на компьютер леса В и нужно чтобы к этому пользователю применялись политики леса А - то нужно в лесу В на компьютерах включить параметр политики "Allow Cross-Forest User Policy and Roaming User Profiles."

Ivan Bardeen, я знаю про этот вариант.

Имелось ввиду что политики заданные в домене А никогда не будут действовать на домен Б как "родные"...
Желаемой автором топика модели (множество трастовых доменов с единой точкой распространения политик) достичь невозможно.

В трастовом контексте придется создавать набор политик для каждого домена.

PS автор топика куда то пропал :)

Ух вот по написали пока в командировке был.
Все спасибо за проявленную активность.
Ну в организации нужно отделить некоторые подразделения друг от друга, а некоторых наоборот обьединить. Сайты введены и каждая подсеть в отдельном сайте их сервер по vpn подключается к нашему и уже маршрутизатор рулит кому куда нужно лезть.
Вот только с доменами неразберусь ни как. Разве вариант с дочерними доменами с одного дерева не подойдут для реализации задач?

Вот только с доменами неразберусь ни как. Разве вариант с дочерними доменами с одного дерева не подойдут для реализации задач? »
Домен - это это граница администрирования и безопасности - то есть, как я понял вы передумали, и вам теперь нужна максимально децентрализованная модель управления ИТ ресурсами леса?
И все же ответьте - у вас сейчас в филиалах домены одного леса или из раных?

Там сейчас домены каждый в своем лесе.
Я не передумывал от первоначальной задачи. Нужно грамотно подразделение-дочерний домен, весь холдинг-корень дерева доменов
Можно ли создав в главном домене пользователя который будет иметь те же права в дочерних что и в главном домене, без дополнительных назначений прав и назначений групп из под доменов?

Можно ли создав в главном домене пользователя который будет иметь те же права в дочерних что и в главном домене, без дополнительных назначений прав и назначений групп из под доменов? »
Нет, для этого вам нужен один домен на все филиалы - упрощенное администрирование, централизация.
Делегировать задачи управления администраторам филиала можно выделив филиалы в отдельные OU.
Предлагаю выбрать какой-либо из существующих доменов за основу (например с наибольшим количеством ресурсов) постепенно мигрировать в него ресурсы всех остальных филалов.

Предлагаю выбрать какой-либо из существующих доменов за основу (например с наибольшим количеством ресурсов) постепенно мигрировать в него ресурсы всех остальных филалов. »
А остальные сервера сделать репликаторами?
Просто если открое кто нибудь сетевое окружение он офигеет))) Более 500 машин, при этом vpn сервер закипит

Нет, для этого вам нужен один домен на все филиалы - упрощенное администрирование, централизация.
Делегировать задачи управления администраторам филиала можно выделив филиалы в отдельные OU. »
А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы?

А остальные сервера сделать репликаторами? »
Не совсем понятно, что вы имеете ввиду
Просто если открое кто нибудь сетевое окружение он офигеет))) »
Сетевое окружение - это устаревшая технология, понижающая безопасность сети. Для консолидации ресурсов рекомендую использовать DFS. А от службы обзревателя сети избавиться.

А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы? »
Как насчет такого выхода для решения данной задачи?