Criando um ambiente do AD multilocatário

3

Atualmente, temos o seguinte ambiente (hospedado no servidor 2003 e servidores de terminais no 2008 R2) e precisamos atualizá-lo para as versões de 2012. Vamos criar um novo ambiente a partir do zero.

Controladores de domínio

  • DC01
  • DC02

Servidor de arquivos

  • File01

servidor do Exchange

  • Exchange01

Servidores de terminal

  • TS_ClientA
  • TS_ClientB
  • TS_ClientC

Cada cliente tem sua própria unidade organizacional em nosso AD e usa negações (ADSIedit) que não podem se ver no Exchange e nem como objetos normais (como para permissões de pasta).

Não queremos usar esses truques novamente e preferimos um design de diretório ativo bem pensado.

Agora, eu pesquisei sobre isso, mas não parece que isso seja possível (pelo menos nativamente). Ainda precisamos usar o adsiedit e fazer truques para obter um ambiente de vários locatários. Em relação ao Exchange, pensamos em usar o Office 365 para os clientes.

Eu gostaria de saber se eu entendi mal alguma coisa ou se há algo que estou perdendo para criar um ambiente multi-tenant 2012 R2.

    
por Devator 07.10.2014 / 14:14

3 respostas

3

As permissões padrão no Active Directory não são configuradas para um ambiente com vários interessados. Você terá que fazer modificações nas permissões do estoque para realizar o que está procurando. Essa é apenas a natureza do design do produto.

Se você conseguir fugir de uma única floresta do AD e migrar para várias florestas de conta sem relações de confiança entre si (o que, sem dúvida, a licença do Windows Server 2012 Datacenter ajuda), você terá que fazer muito menos "hacking" Permissões do AD, uma vez que as florestas são o limite de segurança atômica. Você manteria as florestas de recursos com relacionamentos de confiança intransitivos unidirecionais para as florestas da conta nesse tipo de cenário.

    
por 07.10.2014 / 14:33
3

Enquanto o Evan está certo em que você não pode realmente fazer o que você quer fazer sem hackear ACLs de permissão no ADSIEdit, eu pensei em ir em frente e mencionar uma abordagem alternativa que eu usei com bons resultados em grandes produções. ambientes antes:

Você pode obter um design de vários locatários com o Active Directory usando o Modo de Objetos de Lista. Leia tudo sobre isso aqui:

link

O modo List Object ainda conta como "hackear permissões", mas é muito mais limpo do que colocar Negar ACEs em tudo.

    
por 07.10.2014 / 14:43
1

Embora não seja possível usar o método ADSIEdit no Exchange Server 2010 ou 2013, é possível usar o recurso de vários usuários do Exchange Server 2010 ou 2013. Uma solução muito mais fácil (e uma que usei com um cliente com necessidades semelhantes) é usar as Políticas de Catálogo de Endereços no Exchange Server 2010 ou 2013 para fornecer a separação e o isolamento de que você precisa.

link

    
por 07.10.2014 / 15:01