Переезд на (хотелось бы) идеальную архитектуру Active Directory
Интересуют best practice и плюсы-минусы разных архитектур.
Например, есть домен company.com, принадлежащий компании, соответственно office.company.com домен - простейший вариант. Есть ли смысл планировать структуру как city1.company.com и city2.company.com (и так далее) в случае если компания имеет крупные филиалы в других городах? Или хранить все объекты в одном домене и всё сортировать с помощью OU? Второй вопрос - есть ли смысл мигрировать текущих пользователей? Настраивать доверительные отношения и ... не знаю что там дальше т.к. ни разу не занимался такими вещами. Или создавать с ноля пользователей будет лучше? В общем и целом - будь у вас шанс построить AD c 0 - какие допущенные ошибки вы бы не допустили сейчас? |
Очень много ответов на Ваши вопросы зависит от ситуации и текущих задач, а именно непонятно есть ли ещё филиалы, сколько их, как динамично развивается компания (т.е. периодичность появления новых филиалов), количество ПК в филиале, количество человек работающих за ПК?
Раньше я был сторонником всё сломать и поднять с нуля, но постепенно я начил понимать что это как минимум не продуктивно и на текущий момент я стараюсь видоизменять структуру и доделывать её под себя, т.к. это меньше тревожит пользователей и начальство. P.S. Идеальная структура AD - это неизменяемая со временем структура, а это в стою очередь стагнация, т.к. рост (компании) подразумевает изменения. |
Компания переименовалась (5 юрлиц объединились в группу компаний вроде бы), юридически там дохренища изменений но для меня значительное - переезд на новый домен.
В том числе было - 2 офиса в одном городе по ~200 компов, теперь это всё то же + склад в том же городе на ~70 компов и ТСД и еще офис+склад на хостов 100 в другом городе. Когда и будут ли открываться филиалы в другом городе - откуда ж мне знать... руководство говорит что не планируется но год назад на аналогичный вопрос был такой же ответ, а в другом городе филиала не было, а теперь есть. Так что нужна масштабируемость. |
Если у вас высокая степень виртуализации, сплошной Windows Datacenter, автодеплой и Infrastructure-as-Code - пилите домен на каждый департамент, а то и крупный отдел.
Если нет - оставьте один домен. Ну максимум два, чтобы back-office и линейный персонал по-отдельности были. Делить на домены чисто по географическому признаку - бессмысленная затея. |
Charg,
Согласен с коллегой Busla, делить на домены по географическому признаку затея лишённая смысла, хотя в учебниках по AD (от MS) используются в качестве примера именно деление AD по географическому признаку. Ну где MS, а где реалии вы уже сами знаете... ;) |
Busla, Anton04, в том то и дело что деление по географическому признаку упоминается почти во всех статьях и видеоуроках, разброс древности которых достаточно большой.
Вроде с одной стороны никаких плюсов такого деления сходу не видно а с другой появляются мысли "ну я ж не эксперт ни разу, а все вроде как делают, наверное в этом есть смысл"... А что касается второго вопроса - есть какие-нибудь советы? Цитата:
|
Цитата:
Цитата:
|
Цитата:
|
добавлю своего опыта:
я не вижу никакой практической пользы от деления доменов по геопризнаку (многие учебники МС написаны во времена dial-up\dsl), и имею опыт эксплуатации плоского домена на всю РФ - проблем в нём нет. использование ресурсного домена тоже имеет плюсы и минусы. важно понимать, что домен - это не граница безопасности, но в условиях РФ реалий когда 1-2-3 "как бы" админа занимаются всем и ещё и картриджи заправляют, лишнее (безосновательное) усложнение структуры даст бОльшую нагрузку на персонал, который и так, зачастую, не очень "волочёт" простые схемы. поэтому если мы говорим о простоте - плоский домен и сайты. |
Цитата:
Доверительные отношения нужно настраивать вдумчиво, особенно если вы первоначально не делали домен с которым собираетесь делать связь. Проблемы могут быть в основном касающиеся применений GPO, но ничего страшного и не разрешимого нет, главное с начало чёткое планирование и потом всестороннее моделирование применения GPO (штатными средствами Windows). В общем ничего этого бояться не стоит, главное чёткий план и наличие времени для его реализации. P.S. Присоединяюсь к топику коллеги cameron. |
Цитата:
Теперь то печать на аутсорсе (Konica-Minolta), с оригинальными расходниками, вообще проблем никаких нет. Вот прям... совсем совсем никаких. |
Коллеги у вас попутана причинно-следственная связь. Как правило в упомянутых примерах явно описана структура организации, которая состоит из обособленных филиалов, которые просто названы по геопризнаку. Это деление по существующей структуре организации, а не по геопризнаку.
|
Время: 01:36. |
Время: 01:36.
© OSzone.net 2001-