Estratégia de consolidação do Active Directory após fusão / aquisição

7

Aviso inicial: sou um cara do UNIX por design e comércio. No entanto, estive envolvido com caixas do Windows por pelo menos uma década a partir de uma perspectiva de suporte operacional / ajuste de desempenho.

Minha empresa adquiriu recentemente outra empresa e estamos estudando estratégias para consolidar o Active Directory entre os dois. Temos uma conexão VPN site-to-site e resolução de nomes rápida e sem informações entre os dois sites.

Eu apreciaria:

  • Conselhos de qualquer pessoa que tenha estado na mesma situação.
  • Links para artigos que descrevem considerações de alto nível e detalhes técnicos.
  • Pegadinhas, nunca pensaram, eu gostaria de ter conhecido, sempre-do-mas-nunca-documentado.
por user11189 09.10.2009 / 11:59

5 respostas

5

Eu planejaria desativar uma das florestas do Active Directory e destruí-la. Manter um multi-domínio, e muito menos um Active Directory multi-floresta, é apenas uma dor.

Se você não tem um grande número de usuários / computadores ou permissões complexas do sistema de arquivos na floresta que está sendo desutilizada, eu nem me importaria com uma ferramenta como a Ferramenta de Migração do Active Directory.

As ferramentas de migração são boas para fazer algo rapidamente, mas se você tiver tempo para configurar uma relação de confiança entre as florestas e mover-se deliberadamente, poderá conceder a todas as permissões de arquivo, aplicativos e outros serviços que dependem do Active Directory. Realmente revisar de cima para baixo e assimilar a empresa adquirida em seu Active Directory de maneira controlada e coordenada, em vez de trazer muita bagagem de sua AD, que se tornará uma pedra de moinho "legada" em seu pescoço para anos para vir.

Eu configurei uma relação de confiança entre as florestas para que os usuários de um domínio possam fazer logon nos computadores do outro. Em seguida, a participação no domínio dos computadores cliente torna-se um tanto irrelevante. Eu implantei vários controladores de domínio para o domínio de destino no escritório da empresa adquirida. Você pode até implantá-los como VMs nos controladores de domínio existentes, sem prejuízo do licenciamento do Windows.

Eu mapearia para fora o que a Política de Grupo está sendo usada na floresta que está sendo usada e organizo sites e UOs na floresta de destino para hospedar os computadores à medida que você os move. Você provavelmente descobrirá que eles não estão realmente usando a Diretiva de Grupo para muito de qualquer coisa (parece, deprimente, continuar a ser o caso nove anos depois que o Active Directory e a Diretiva de Grupo entraram em cena), mas definitivamente pense um pouco. / p>

Eu implantei um script de inicialização usando a ferramenta "NETDOM" (consulte link ) para separar os computadores-cliente da floresta que está sendo desutilizada e junte-os à floresta de destino. Os logons de usuários continuarão funcionando como sempre para que os usuários da floresta sejam desativados.

A migração ou não dos usuários e grupos da floresta que estão sendo desutilizados dependeria do número de usuários e grupos e da dificuldade de recriar os usuários, grupos e ACLs do sistema de arquivos na floresta de destino.

Você não mencionou o Exchange. Se o Exchange está em jogo, você deve se preocupar com a migração de caixa de correio entre florestas / entre organizações. Vou me abster de comentar sobre esse assunto, a menos que você atualize e diga que precisa de informações sobre isso.

    
por 17.10.2009 / 00:23
4

Você está analisando duas maneiras diferentes de fazer isso: 1. Confiança de domínio (simples): cria um vínculo entre seus dois domínios, para que você possa conceder aos usuários em domínio um acesso a recursos compartilhados no domínio B e vice-versa. Você também pode criar uma confiança unidirecional que só funciona em uma direção 2. Migração de domínio: Mova todos os objetos (usuários, computadores e assim por diante) de um domínio para outro. O ADMT (Ferramenta de Migração do Active Directory) é a caixa de ferramentas que você normalmente usa aqui. Se os dois domínios tiverem instalado o Exchange Server, você também verá uma migração de caixa de correio de uma organização do Exchange para outra (existe um relacionamento um-para-um entre o Exchange e o Active Directory Forests, portanto você não pode simplesmente mover exhcange entre florestas de AD).

Como Sam aponta, este é um onde você vai querer testar, testar e testar um pouco mais! A migração em si não é tão complicada, mas qualquer falha pode ser desastrosa.

    
por 09.10.2009 / 14:52
1

O Evan Anderson vai lhe dar uma resposta realmente boa, mas até que ele apareça, eu posso lhe dar algumas coisas para pesquisar.

Basicamente, você tem uma "árvore" do Active Directory. É o seu domínio. Sua nova empresa também tem uma. Sua "árvore" é o seu domínio. O que você quer fazer é colocar as duas "árvores" na mesma "floresta". Eu não estou sendo fofo, esses são os termos reais.

Eu só sei o suficiente tecnicamente para saber que não sei a resposta. O Google fornece alguns bons resultados , mas definitivamente fale com alguém que sabe antes de você fazer isso. Existe alguém na outra empresa com mais experiência no Windows?

Além disso, eu recomendo pegar um livro do AD para a versão do Windows Server que você usa. Eles são esclarecedores, e como um cara Linux, ver sua mentalidade é um pouco inquietante na hora, mas geralmente funciona. É apenas diferente.

Boa sorte!

    
por 09.10.2009 / 13:48
1

Normalmente, você acaba usando algo como o ADMT ou o Quest para migrar todos os objetos relevantes (usuários, grupos, computadores, servidores, etc.) do (s) domínio (s) de propriedade de uma empresa para o domínio do outro.

Isso requer um planejamento significativo e você precisará examinar os servidores em um aplicativo por aplicativo. Algumas coisas são bastante fáceis de mover, e. servidores de ficheiros e de impressão, enquanto outros, e. O SQL / SharePoint está muito mais envolvido.

A ADMT e o similar podem fazer o trabalho de tocar todas as máquinas para você, além de copiar os princípios.

    
por 11.10.2009 / 23:28
0

Mantenha a coexistência o mais curta possível. A execução dos dois domínios resultará em nada além de problemas. Se um AD é claramente melhor (onde melhor = melhor modelo administrativo, monitoramento, etc) do que outro, (ou os DCs estão em fim de vida em um), migre os usuários para isso. Caso contrário, configure um novo domínio e migre para ele em um período de tempo predefinido.

    
por 17.10.2009 / 01:06