[exo]

Цитата zero55:

Вы считаете что при трастах будут работать политики из соседнего домена? »

конечно нет, а где это заявлено? под "всё" я имел ввиду все отношения работают как надо. А политики - они только доменные, а не трастовые.

Ждёмс ТС.

[Ivan Bardeen]

Цитата zero55:

Вы считаете что при трастах будут работать политики из соседнего домена? Сомневаюсь... »

Напрасно сомневаетесь. Есть такое поведение пользовательских политик:
Если пользователь леса А входит на компьютер леса В и нужно чтобы к этому пользователю применялись политики леса А - то нужно в лесу В на компьютерах включить параметр политики "Allow Cross-Forest User Policy and Roaming User Profiles."

[zero55]

Ivan Bardeen, я знаю про этот вариант.

Имелось ввиду что политики заданные в домене А никогда не будут действовать на домен Б как "родные"...
Желаемой автором топика модели (множество трастовых доменов с единой точкой распространения политик) достичь невозможно.

В трастовом контексте придется создавать набор политик для каждого домена.

PS автор топика куда то пропал

[mr.Den]

Ух вот по написали пока в командировке был.
Все спасибо за проявленную активность.
Ну в организации нужно отделить некоторые подразделения друг от друга, а некоторых наоборот обьединить. Сайты введены и каждая подсеть в отдельном сайте их сервер по vpn подключается к нашему и уже маршрутизатор рулит кому куда нужно лезть.
Вот только с доменами неразберусь ни как. Разве вариант с дочерними доменами с одного дерева не подойдут для реализации задач?

[Ivan Bardeen]

Цитата mr.Den:

Вот только с доменами неразберусь ни как. Разве вариант с дочерними доменами с одного дерева не подойдут для реализации задач? »

Домен - это это граница администрирования и безопасности - то есть, как я понял вы передумали, и вам теперь нужна максимально децентрализованная модель управления ИТ ресурсами леса?
И все же ответьте - у вас сейчас в филиалах домены одного леса или из раных?

[mr.Den]

Там сейчас домены каждый в своем лесе.
Я не передумывал от первоначальной задачи. Нужно грамотно подразделение-дочерний домен, весь холдинг-корень дерева доменов
Можно ли создав в главном домене пользователя который будет иметь те же права в дочерних что и в главном домене, без дополнительных назначений прав и назначений групп из под доменов?

[Ivan Bardeen]

Цитата mr.Den:

Можно ли создав в главном домене пользователя который будет иметь те же права в дочерних что и в главном домене, без дополнительных назначений прав и назначений групп из под доменов? »

Нет, для этого вам нужен один домен на все филиалы - упрощенное администрирование, централизация.
Делегировать задачи управления администраторам филиала можно выделив филиалы в отдельные OU.
Предлагаю выбрать какой-либо из существующих доменов за основу (например с наибольшим количеством ресурсов) постепенно мигрировать в него ресурсы всех остальных филалов.

[mr.Den]

Цитата Ivan Bardeen:

Предлагаю выбрать какой-либо из существующих доменов за основу (например с наибольшим количеством ресурсов) постепенно мигрировать в него ресурсы всех остальных филалов. »

А остальные сервера сделать репликаторами?
Просто если открое кто нибудь сетевое окружение он офигеет))) Более 500 машин, при этом vpn сервер закипит

Цитата Ivan Bardeen:

Нет, для этого вам нужен один домен на все филиалы - упрощенное администрирование, централизация. Делегировать задачи управления администраторам филиала можно выделив филиалы в отдельные OU. »

А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы?

[Ivan Bardeen]

Цитата mr.Den:

А остальные сервера сделать репликаторами? »

Не совсем понятно, что вы имеете ввиду

Цитата mr.Den:

Просто если открое кто нибудь сетевое окружение он офигеет))) »

Сетевое окружение - это устаревшая технология, понижающая безопасность сети. Для консолидации ресурсов рекомендую использовать DFS. А от службы обзревателя сети избавиться.

[mr.Den]

Цитата mr.Den:

А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы? »

Как насчет такого выхода для решения данной задачи?