Строю дерево региональных доменов, и понеслись вопросы.
 

Есть холдинг, у него порядка 15 удаленных подразделений, в каждом подразделение есть как минимум 1 сервер, сейчас они каждый в своем домене.
Собственно задача, всех их объединить. Главные домен контроллер, он же vpn сервер и маршрутизатор под сетей(это уже другой вопрос), а сейчас про домены.
Каждый домен(региональное подразделение) со своей под сети 192.168.x.0/24, в каждой под сети 1 домен контроллер под домена в дереве доменов...эва как завернул.
И собственно сами вопросы хбуууумсъ
Как сделать единую базу пользователей?
Можно ли, не делая единую базу пользователей, добавлять юзера в группы из разных доменов?(пробовал но что то они не изменяются(т.е. я прописал но другом домене юзера,указал ему группу из другого домена, захожу в другой домен...и нифига)
Если в главном домене применить общую политику безопасности, в под доменах она будет принята? или в каждом домене в ручную это делать?
Как существующие домены со всем барахлом понизить до под домена и при этом что у юзеров на рабочем столе и сертификаты для всякого рода банк клиентов и систем отчетностей все сохранилось?

И у каждого отдельный лес AD?

думаю что вам стоит посмотреть на сайтовую структуру, вместо поддоменов.
возможно это окажется более удобным решением.
не совсем понятно о чём речь.
мигрировать пользователей через USMT, хотя БК обычно не имеют привязки к вашему домену.

читайте про сайты и трастовые (доверительные) отношения между доменами.

я ни разу не слышал, чтобы можно было существующий домен перевести в ранг дочернего домена (т.е. поддомена, как вы пишите).

почему?
логически можно сконструировать вот такую штуку

есть домен domain.corp.spb.ru надо его сделать "дочкой".
Создаем домен corp.spb.ru, налаживаем трасты и все.

Появляется уродство в виде папы и дочки. Это изначально неправильно (я не рекомендую так делать...) и политики как вы хотите работать там не будут.

В вашем случае правильнее создать один домен (желательно на Windows 2008 R2 т.к. это дает полезняшку в виде RODC) с множеством сайтов (сайт равен одной физической площадке)

дочка и трасты - разные вещи.

всё там работает.

в данном контексте речь идет о трастах.
у папы и дочки?
или в трасторых доменах?

В любом случае итогом будет превильное планирование одного домена (если позволяет политика организации) и миграция в него всех существующих ресурсов.

и там и там.
тут уже не планирование, а перестройка. это идеальный вариант.

Вы считаете что при трастах будут работать политики из соседнего домена?
Сомневаюсь...
перестройка без грамотного планирования или хотя бы понимания того что должно получиться в итоге крайне сложна.

предлагаю долждаться ТС, что бы, хотя бы понять, это домены в одном лесу? или это просто набор лесов? =)
ато пока что мало понятно.
а вообще поддерживаю zero55, лучше хорошенько подумать один раз, и перестроить инфраструктуру.
судя по теме компания может себе позволить небольшие простои на время миграции инфраструктур.

конечно нет, а где это заявлено? под "всё" я имел ввиду все отношения работают как надо. А политики - они только доменные, а не трастовые.

Ждёмс ТС.

Напрасно сомневаетесь. Есть такое поведение пользовательских политик:
Если пользователь леса А входит на компьютер леса В и нужно чтобы к этому пользователю применялись политики леса А - то нужно в лесу В на компьютерах включить параметр политики "Allow Cross-Forest User Policy and Roaming User Profiles."

Ivan Bardeen, я знаю про этот вариант.

Имелось ввиду что политики заданные в домене А никогда не будут действовать на домен Б как "родные"...
Желаемой автором топика модели (множество трастовых доменов с единой точкой распространения политик) достичь невозможно.

В трастовом контексте придется создавать набор политик для каждого домена.

PS автор топика куда то пропал :)

Ух вот по написали пока в командировке был.
Все спасибо за проявленную активность.
Ну в организации нужно отделить некоторые подразделения друг от друга, а некоторых наоборот обьединить. Сайты введены и каждая подсеть в отдельном сайте их сервер по vpn подключается к нашему и уже маршрутизатор рулит кому куда нужно лезть.
Вот только с доменами неразберусь ни как. Разве вариант с дочерними доменами с одного дерева не подойдут для реализации задач?

Домен - это это граница администрирования и безопасности - то есть, как я понял вы передумали, и вам теперь нужна максимально децентрализованная модель управления ИТ ресурсами леса?
И все же ответьте - у вас сейчас в филиалах домены одного леса или из раных?

Там сейчас домены каждый в своем лесе.
Я не передумывал от первоначальной задачи. Нужно грамотно подразделение-дочерний домен, весь холдинг-корень дерева доменов
Можно ли создав в главном домене пользователя который будет иметь те же права в дочерних что и в главном домене, без дополнительных назначений прав и назначений групп из под доменов?

Нет, для этого вам нужен один домен на все филиалы - упрощенное администрирование, централизация.
Делегировать задачи управления администраторам филиала можно выделив филиалы в отдельные OU.
Предлагаю выбрать какой-либо из существующих доменов за основу (например с наибольшим количеством ресурсов) постепенно мигрировать в него ресурсы всех остальных филалов.

А остальные сервера сделать репликаторами?
Просто если открое кто нибудь сетевое окружение он офигеет))) Более 500 машин, при этом vpn сервер закипит

А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы?

Не совсем понятно, что вы имеете ввиду
Сетевое окружение - это устаревшая технология, понижающая безопасность сети. Для консолидации ресурсов рекомендую использовать DFS. А от службы обзревателя сети избавиться.

Как насчет такого выхода для решения данной задачи?

Вы усложняете схему сети, тогда как надо упрощать. У вас, как я понимаю пользователи будут перемещаться между филиалами - вот тут как раз подойдет один домен. Ну и тем более 16 доменов на 500 человек - это курьез. Накладные расходы на администрирование будут очень высоки. Тем более вам все же придется выполнять миграцию в единый лес, что со многими доменами, что с одним - не лучше ли сделать один домен.

Это не выход, а костыли - со всеменем у вас при той схеме, что выхотите реализовать таких костылей будет все больше и больше.

Просто в некоторых филиалах из-за плохо дошедшей до них цивилизации интернет идет по EDGE и тот трафик что появится в результате одного домена не даст нормально работать. При том что машин я сказал 500 а пользователей примерно в два раза больше. И они ежедневно увольняются и устраиваются.

Постоянно только пользователи корня дерева доменов(сотрудники управляющей компании) будут перемешаться, остальные только в случае перевода, но это бывает раз в два месяца, можно и юзера создать.

Трафик будет незаметен. Можете прикинуть его с помощью утилиты ADSizer http://support.microsoft.com/kb/927229/en-us
500 машин и 1000 пользователей - это очень немного. По меркам MS - средненьким считается тот домен, где более 50 тысяч активных пользователей - только начиная с этого размера они предлагают какие-то механизмы по оптимизации траффика репликации.
Все же я настаиваю на одном домене со многими сайтами.

Может я все же уперся в свое, против вашего совета, но сейчас я зашел на машинку которая включена в под домен с учеткой из главного домена и получил права назначенные мне в главном домене О_о

выставьте нужное расписание репликации.

я поддерживаю Ивана, при 500 учетках поддерживать 16 доменов это не то что курьез это сумасшествие...

Практика показывает что один домен с пяти десятью сайтами влазит 15 тыс. учеток и они совершенно спокойно увольняются, переводятся и пр.
Во втором есть сходная с вами ситуация, но там деление на домены происходит по региональному признаку.

Что вас смущает?

А если нужно пользователю разрешить вход на рабочие станции только из своего филиала?

Создал пользователя и сказал ему выходить на работу через месяц?

Достигнут результат для решение проблем "мигрирующих пользователь"

Это решаемо.
1. Создаете группы безопасности вида пользователи_такого-то_филиала
2. Из группы "пользователи" на компьютерах филиалов, посредством политики "Restricted groups" удаляете всех и довавляете группу "пользователи_такого-то_филиала"
3. Политика будет привязана на OU c компьютерами филиала - у каждого свой OU - своя политика.

Так получается ещё деление груп филиалов на отделы, а ещё в отделах не у всех одинаковые права. Вообще получается головоломка

Вам при любом раскладе понадобится одинаковое количество групп, пользователей и компьютеров и OU - только вам предлагают это сделать проще - а вы хотите усложнить.
PS: полагаю дискуссия зашла в тупик :( - мы пустились обсуждать частности

Ладно перейду к практике.
Спасибо всем за помощь. Дискуссию думаю не стоит закрывать.

у вас этот пользователь в каком филиале работает?
на Сахалине и оформляете вы его в Москве?
В подразделении где он принимается (на площадке) есть свой контроллер на котором сотрудник технической поддержки имеет право создания учетных записей пользователей, далее согласно расписанию репликации данные реплицируются, например два раза в день.

Естественно вам нужно подумать какая топология репликации ван нужна (я рекомендую классическую звезду, но надо смотреть на месте) и в зависимости от задачи настроить расписание репликации.

при нормальном канале и при активных разъездах пользоватей достаточно установить раз в час, при медленных линках хоть раз в сутки...

Позволю себе поправить - топологией межсайтовой репликации пусть занимаются ISTG в своих сайтах - они сами выстроят топологию согласно STA. Полагаю вы имели ввиду убрать галку "bridge all site links" и настроить связи сайтов в виде звезды.

p.s.: в 2008 R2 пользователя заведённого в "филиальном" домене можно не реплицировать на главный домен.
я вот только не помню как эта фича называется, и доступна ли она только RODC или в FULLDC... (как обозначается не RODC контроллер?)

именно так.

Появилась проблемка. Добавляю адмуну главного домена группу админа дочернего домена. Он пишет что роль назначится не ранее чем через 15 минут, время репликации 15 минут, я ещё и вручную запустил, ждал сутки но группа так и не назначилась. Как вообще сделать админа на все домены одного?

на все домены одного админа изначально не правильно и недопустимо из соображений безопасности.

Если уж очень надо то используйте глобальную группу в которую включены нужные пользователи (только не Администратор) и эту группу добавляйте в группу Administrators каждого домена.

ошибся. в RODC хранятся все пользователи, но хеши паролей хранит только заданных пользователей... наверное это никак не будет влиять на репликацию.

Да дело не только в админах. Назначение прав например пользователям RDP.
Есть такая группа администраторы предприятия, на корне добавлены нужные пользователи в эту группу, на подчиненных это группа автоматически добавляется в администраторы. Но вот только если зайти на ПК из поддомена то прав админа нету. В администраторы домена не получается добавить.

И ещё не получается переместить пользователя из одного домена в другой. На вкладке Учетная запись меняю домен, тыкаю Ок жду репликацию и нифига на основном контроллере доменов он не появляется.

как перенести пользователя или компьютер в другой домен?

USMT

Скажите почему не рассматривается вариант с контроллером только для чтения (RODC)?
У меня сейчас похожая задача. Управления пользователями в филиалах на плохих канал связи.

на теперь грамотно включить в домен уже существующие домены? т..е был домен глвным в дереве и тут надо его веткой сделать?

А вот с вариантом из одного домена...У нас в каждом подразделении холдинга есть свои админы которые должны рулить только своими учетками и GPO как в этой ситуации быть?

делегирование.
USMT