Переезд на (хотелось бы) идеальную архитектуру Active Directory
 

Интересуют best practice и плюсы-минусы разных архитектур.

Например, есть домен company.com, принадлежащий компании, соответственно office.company.com домен - простейший вариант.
Есть ли смысл планировать структуру как city1.company.com и city2.company.com (и так далее) в случае если компания имеет крупные филиалы в других городах? Или хранить все объекты в одном домене и всё сортировать с помощью OU?

Второй вопрос - есть ли смысл мигрировать текущих пользователей? Настраивать доверительные отношения и ... не знаю что там дальше т.к. ни разу не занимался такими вещами. Или создавать с ноля пользователей будет лучше?

В общем и целом - будь у вас шанс построить AD c 0 - какие допущенные ошибки вы бы не допустили сейчас?

Очень много ответов на Ваши вопросы зависит от ситуации и текущих задач, а именно непонятно есть ли ещё филиалы, сколько их, как динамично развивается компания (т.е. периодичность появления новых филиалов), количество ПК в филиале, количество человек работающих за ПК?

Раньше я был сторонником всё сломать и поднять с нуля, но постепенно я начил понимать что это как минимум не продуктивно и на текущий момент я стараюсь видоизменять структуру и доделывать её под себя, т.к. это меньше тревожит пользователей и начальство.

P.S. Идеальная структура AD - это неизменяемая со временем структура, а это в стою очередь стагнация, т.к. рост (компании) подразумевает изменения.

Компания переименовалась (5 юрлиц объединились в группу компаний вроде бы), юридически там дохренища изменений но для меня значительное - переезд на новый домен.
В том числе было - 2 офиса в одном городе по ~200 компов, теперь это всё то же + склад в том же городе на ~70 компов и ТСД и еще офис+склад на хостов 100 в другом городе. Когда и будут ли открываться филиалы в другом городе - откуда ж мне знать... руководство говорит что не планируется но год назад на аналогичный вопрос был такой же ответ, а в другом городе филиала не было, а теперь есть. Так что нужна масштабируемость.

Если у вас высокая степень виртуализации, сплошной Windows Datacenter, автодеплой и Infrastructure-as-Code - пилите домен на каждый департамент, а то и крупный отдел.
Если нет - оставьте один домен. Ну максимум два, чтобы back-office и линейный персонал по-отдельности были.

Делить на домены чисто по географическому признаку - бессмысленная затея.

Charg,

Согласен с коллегой Busla, делить на домены по географическому признаку затея лишённая смысла, хотя в учебниках по AD (от MS) используются в качестве примера именно деление AD по географическому признаку. Ну где MS, а где реалии вы уже сами знаете... ;)

Busla, Anton04, в том то и дело что деление по географическому признаку упоминается почти во всех статьях и видеоуроках, разброс древности которых достаточно большой.
Вроде с одной стороны никаких плюсов такого деления сходу не видно а с другой появляются мысли "ну я ж не эксперт ни разу, а все вроде как делают, наверное в этом есть смысл"...


А что касается второго вопроса - есть какие-нибудь советы?

В учебниках рассматривается достаточно разветвлённая структура организаций и деление доменов по географическому признаку обусловлено (по моему) больше для наглядности, чем для какого либо практического применения. Не спорю есть и достаточно большие организации которые это используют, но это организации глобального масштаба с многими десятками админов.

Определённо есть. Я бы поступил именно так.

В чем преимущества\недостатки?

добавлю своего опыта:
я не вижу никакой практической пользы от деления доменов по геопризнаку (многие учебники МС написаны во времена dial-up\dsl), и имею опыт эксплуатации плоского домена на всю РФ - проблем в нём нет.
использование ресурсного домена тоже имеет плюсы и минусы. важно понимать, что домен - это не граница безопасности, но в условиях РФ реалий когда 1-2-3 "как бы" админа занимаются всем и ещё и картриджи заправляют, лишнее (безосновательное) усложнение структуры даст бОльшую нагрузку на персонал, который и так, зачастую, не очень "волочёт" простые схемы.
поэтому если мы говорим о простоте - плоский домен и сайты.

Я уже рассказывал выше что переделка существующей структуры это не стресс, а спокойная вдумчивая работа. Достоинства банальны, это сохранение всех настроек и разрешений для пользователя (далеко не секрет, что очень многие настройки не документируют), что при Вашей развёрнутой инфраструктуры это первостепенно важно иначе звонки, письма и бесконечные подключения и исправление всего и вся в авральном режиме. Ничего отрицательного миграция пользователей в себе не несёт ну вот совсем.

Доверительные отношения нужно настраивать вдумчиво, особенно если вы первоначально не делали домен с которым собираетесь делать связь. Проблемы могут быть в основном касающиеся применений GPO, но ничего страшного и не разрешимого нет, главное с начало чёткое планирование и потом всестороннее моделирование применения GPO (штатными средствами Windows).

В общем ничего этого бояться не стоит, главное чёткий план и наличие времени для его реализации.

P.S. Присоединяюсь к топику коллеги cameron.

Коллеги у вас попутана причинно-следственная связь. Как правило в упомянутых примерах явно описана структура организации, которая состоит из обособленных филиалов, которые просто названы по геопризнаку. Это деление по существующей структуре организации, а не по геопризнаку.