あるActiveDirectoryドメインから別のドメインにユーザーを移行しますか?
私は、さまざまな会社のデスクトップをホストしている会社で働いています。現時点では、すべてのクライアントがHOSTINGと呼ばれる単一のドメインコントローラーにアクセスしています。その下には、各企業のグループがあります。
各ホスティングサーバーは同じネットワーク上に存在するため、他のターミナルサーバーから閲覧できる可能性があります。これによりいくつかのセキュリティ問題が発生し、セキュリティの管理が少し難しいことがわかりました。また、他のユーザーが自分のデータを見ることができなくても、他のホストされている会社が誰であるかを確認することができます。
私がやりたいのは、各クライアントのターミナルサーバーを独自のVLANに分離することです。さらに、各TSには独自のDCがあり、その会社のTSで実行できると思います。DCのオーバーヘッドはかなりですこれにより、そのTSのユーザーは、他の会社を完全に見ることができなくなります。
まず、これは賢明な計画のように聞こえますか?
第二に...それが賢明な場合、どうすればホスティングドメインから新しいドメインにアカウントをプルすることができますか?理想的には、ユーザーがパスワードを変更する必要はありませんか?
ADMTは、アカウントを新しいフォレストに確実に移行するのに適しています。しかし...本当に顧客ごとに専用のADフォレストを構築する必要がありますか?それはかなり早く難しくなる可能性があります。あなたのビジネスがほんの一握りの顧客しかいないようなものであれば、それはおそらく大したことではありません。しかし、多くの顧客がいて、成長したいのであれば、事態はさらに難しくなります。
ここでMicrosoftのHMC(Hosted Messaging and Collaboration)プラットフォームを読むことをお勧めします。 Exchange/SharePoint/OCS/Webサイトをホストしている企業によって主に使用されているため、環境に直接適用することはできませんが、プラットフォームは、ホストされている企業が数千の顧客とのマルチテナント構成を実行できるようにするADインフラストラクチャを指定します。同じADフォレスト。それは彼らが専用サーバーを持つ能力を否定するものでもありません。これはロケット科学ではありませんが、実際にそれが問題の1つである場合は、ADをより適切にロックダウンする方法についていくつかのアイデアが得られる可能性があります。 HMCは次世代のMicrosoftバックオフィスアプリケーション(Exchange 2010、Sharepoint 2010など)で廃止されるため、実際にはHMCを使用したくないかもしれませんが、そこからいくつかの有用な情報を収集することができます。
Windowsのものとは別に、専用のVLAN構成がどのように機能するかがわかります。
これは非常に賢明な計画のようです。 Microsoftの [〜#〜] admt [〜#〜] をチェックしてください。以前にAD移行に使用しましたが、非常にうまく機能しました。