同じチェーンの異なるホテルの複数のADドメイン?
私はホテルグループの既存のインフラストラクチャを継承しており、そのインフラストラクチャのオーバーホールを試みています。
ホテル(HotelA、HotelBなど)は、最初はそれぞれ1つのドメイン(および1つのドメインコントローラー)でセットアップされていました。各ホテルには独自のドメインがあるため、これは多少管理が困難です(つまり、GPOがすべて標準化されていること、在庫の問題、ソフトウェアの展開の問題などを確認するためだけに、ドメイン間でGPOをインポート/エクスポートする必要があります)。ドメイン間に信頼関係はありません。
これで、「個々の」ホテルのすべてのドメインを結合して、ad.hotelgroup.comなどの大きなドメインにすることができます。これは良い考えですか?各ホテルを実質的に独立させたいため、グループからの反発があり、新しい所有者に売却されたときに、追加の作業を行う必要はありません。
ただし、単一のドメインを管理する方が、複数のドメインを管理するよりもはるかに簡単です。また、複数のDCを冗長化し、MDTサーバーとWSUSサーバーを共有することもできます。
皆さんはどう思いますか?
考慮すべきことがたくさんあるので、これは簡単な答えではありません。しかし、あなたの投稿にはいくつかの重要な議論があります。
..各ホテルを独立させたいので、新しい所有者に売却されたときに、追加の作業を行う必要がありません。
これは有効なポイントであり、1つのドメインでこれを行う簡単な方法はありません。 1つのフォレストでも、これは少しトリッキーになることがあります。
また、MDTサーバーとWSUSサーバーを共有することもできます。
MDTとWSUSはドメインバインドまたは認証されておらず、複数のドメインで実行できます。ドメインごとに1つは必要ありません。
ad.hotelgroup.com。これは良い考えですか
通常はそうです。重要な機能が「簡単な分離」である場合、それはおそらくそうではありません。
each hotel has its own domain ... There are no trusts between domains.。
これはスケーラブルなADアーキテクチャではありません。
彼らがそれを承認して資金を提供したとしても、それはありそうにないように思えますが、これを変換することは組織の能力と変化への意欲を超えるだろうと思いがちです。現在のアーキテクチャについて決定が下されたとき、彼らは本質的に****-ボタンをクリックし、合理的なテクノロジー管理とアーキテクチャは優先事項ではないことを認めました。
検討する必要があるのは、管理フォレストを作成し、そのフォレストを信頼するように各ドメイン/フォレストを構成することです。これは、すべてではありませんがいくつかの問題を解決し、摩擦を最小限に抑え、既存のアーキテクチャを維持します。