Question Stratégie de consolidation Active Directory après fusion / acquisition


Clause de non-responsabilité immédiate: Je suis un gars d'UNIX de par sa conception et son commerce. Cependant, je suis impliqué dans les ordinateurs Windows depuis au moins une décennie du point de vue du soutien opérationnel / du réglage des performances.

Ma société a récemment acquis une autre société et nous étudions des stratégies pour consolider Active Directory entre les deux. Nous avons une connexion VPN de site à site et une résolution de nom rapide qui fonctionne entre les deux sites.

J'apprécierais:

  • Conseils de toute personne qui a été dans la même situation.
  • Liens vers des articles décrivant à la fois des considérations de haut niveau et des détails techniques.
  • Les pièges, jamais-dos, je-souhaite-je-avais-connu, toujours-dos-mais-jamais-documenté.

7
2017-10-09 09:59


origine




Réponses:


Je prévois de supprimer l'une des forêts Active Directory et de la supprimer. Maintenir un multi-domaine, et encore moins une multi-forêt, Active Directory n’est qu’un problème.

Si vous n'avez pas un grand nombre d'utilisateurs / ordinateurs ou d'autorisations de système de fichiers complexes dans la forêt désaffectées, je ne me soucierais même pas d'un outil tel que l'outil de migration Active Directory.

Les outils de migration sont parfaits pour accomplir quelque chose rapidement, mais si vous avez le temps de configurer une relation de confiance entre les forêts et de le déplacer délibérément, vous pouvez attribuer à tous les droits d'accès aux fichiers, aux applications et à tout autre service dépendant d'Active Directory. examinez au fond et assimilez la société acquise dans votre annuaire Active Directory de manière contrôlée et coordonnée, au lieu d’emporter beaucoup de bagages de leur AD qui se révélera être un héritage "traditionnel" autour du cou pour les années à venir .

Je mettrais en place une relation de confiance entre les forêts de telle sorte que les utilisateurs d'un domaine puissent se connecter aux ordinateurs de l'autre. Ensuite, l'appartenance au domaine des ordinateurs clients devient quelque peu hors de propos. Je déploierais un certain nombre de contrôleurs de domaine pour le domaine de destination dans le bureau de la société acquise. Vous pouvez même les déployer en tant que machines virtuelles sur les contrôleurs de domaine existants, nonobstant les licences Windows.

Je ferais une cartographie de la stratégie de groupe utilisée dans la forêt désaffectée, ainsi que des sites de stockage et des unités d'organisation dans la forêt de destination pour héberger les ordinateurs au fur et à mesure de leur déplacement. Vous constaterez probablement qu'ils n'utilisent pas vraiment la stratégie de groupe (cela semble toujours être le cas 9 ans après l'arrivée d'Active Directory et de la stratégie de groupe), mais réfléchissez-y.

Je déploierais un script de démarrage à l'aide de l'outil "NETDOM" (voir http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx) pour dissocier les ordinateurs clients de la forêt désaffectée et les joindre à la forêt de destination. Les ouvertures de session utilisateur continueront de fonctionner comme elles le font toujours pour les utilisateurs de la forêt désaffectés.

Le fait de migrer ou non les utilisateurs et les groupes de la forêt désaffectée dépend du nombre d'utilisateurs et de groupes et de la difficulté de simplement recréer les ACL des utilisateurs, des groupes et des systèmes de fichiers dans la forêt de destination.

Vous n'avez pas parlé d'échange. Si Exchange est en jeu, vous devez vous préoccuper de la migration des boîtes aux lettres entre forêts et organisations. Je m'abstiendrai de tout commentaire sur cette question, à moins que vous ne mettiez à jour vos connaissances et disiez que vous aviez besoin d'informations à ce sujet.


5
2017-10-16 22:23



Oui, l'échange est un problème pour nous aussi. S'il vous plaît faites un commentaire, et merci jusqu'ici. - user11189
De combien d'utilisateurs / de boîtes aux lettres parlez-vous dans la forêt source? - Evan Anderson


Vous envisagez deux manières différentes de procéder: 1. Confiance de domaine (simple): crée un lien entre vos deux domaines afin que vous puissiez donner aux utilisateurs du domaine un accès aux ressources partagées du domaine B et inversement. Vous pouvez également créer une confiance à sens unique qui ne fonctionne que dans un sens. 2. Migration de domaine: déplacez tous les objets (utilisateurs, ordinateurs, etc.) d'un domaine à un autre. ADMT (outil de migration Active Directory) est la boîte à outils que vous utilisez normalement ici. Si les deux domaines ont installé Exchange Server, vous envisagez également une migration de boîte aux lettres d'une organisation Exchange à l'autre (il existe une relation un-à-un entre Exchange et les forêts Active Directory. Vous ne pouvez donc pas simplement déplacer exhcange. entre forêts AD).

Comme Sam le fait remarquer, vous voudrez en tester d’autres encore! La migration en elle-même n’est pas si compliquée, mais toute erreur pourrait être catastrophique.


4
2017-10-09 12:52





Evan Anderson va vous donner une très bonne réponse à ce sujet, mais tant qu'il ne se présentera pas, je pourrai vous donner des éléments de recherche.

En gros, vous avez une "arborescence" Active Directory. C'est ton domaine. Votre nouvelle entreprise en a un aussi. Leur "arbre" est leur domaine. Ce que vous voulez faire est de mettre les deux "arbres" dans la même "forêt". Je ne suis pas mignon, ce sont les termes réels.

Je sais seulement assez techniquement pour savoir que je ne connais pas la réponse. Google fournit des bons résultatsmais parlez-en à quelqu'un qui le sait avant de le faire. Y a-t-il quelqu'un dans l'autre société qui a plus d'expérience de Windows?

De plus, je vous conseillerais de choisir un livre AD pour la version de Windows Server que vous utilisez. Ils sont éclairants et, en tant que type Linux moi-même, voir leur état d'esprit est un peu dérangeant à la fois, mais cela fonctionne généralement. C'est juste différent.

Bonne chance!


1
2017-10-09 11:48



Je suggérerais également de mettre en place un environnement de test décent pour essayer ces choses, vous apprendrez mieux en le faisant, mais il est très facile à faire et ensuite casser l'AD! - Sam Cogan
+1 Sam, j'allais suggérer de déchiffrer VMWare Workstation et de mettre en place un environnement de test similaire avec une "VM Team". Vous pouvez même simuler le lien WAN ... L'instantané / la restauration est vraiment très simple dans cet environnement. - tomfanning
Euh ... vous ne pouvez pas élaguer et greffer des arbres entre des forêts AD. - James Risto
J'étais en vacances quand celui-ci a été posté. Manqué le bateau sur celui-ci un peu. - Evan Anderson
Bon Dieu, tu n'es pas autorisé à passer des vacances !! Qui va prendre la relève ici? - Matt Simmons


En général, vous finissez par utiliser quelque chose comme ADMT ou Quest pour migrer tous les objets pertinents (utilisateurs, groupes, ordinateurs, serveurs, etc.) hors du ou des domaines appartenant à une entreprise et dans le domaine de l'autre.

Cela nécessite une planification importante et vous devrez examiner les serveurs application par application. Certaines choses sont assez faciles à déplacer, par exemple serveurs de fichiers et d’impression, tandis que d’autres, p. ex. SQL / SharePoint sont beaucoup plus impliqués.

ADMT et similaires peuvent faire le travail de toucher toutes les machines pour vous, ainsi que de copier les principes.


1
2017-10-11 21:28





Gardez la coexistence aussi courte que possible. L'exécution des deux domaines n'entraînera que des problèmes. Si un AD est clairement meilleur (où meilleur = meilleur modèle administratif, surveillance, etc.) qu'un autre (ou que les contrôleurs de domaine sont en fin de vie), migrez les utilisateurs vers celui-ci. Sinon, configurez un nouveau domaine et migrez-le sur une période prédéfinie.


0
2017-10-16 23:06