多租户方案

Question

我们有很多小客户，有几个分公司(~5个客户，没有服务器)。这里没有基础设施，他们没有任何IT人员。出于管理原因，我们希望客户端成为域的一部分。我们有一个根森林/域到位，并希望增加客户到我们的基础设施。由于Active Directory不是为多重生存期而设计的，因此我们目前正在评估信任关系。要做到这一点，重要的是客户不能访问/枚举其他客户的广告。

考虑到这一点，以下哪一种方案会起作用，哪些方案可能是最好的？

( a)单独的森林

( b)一个森林，单独的领域

( c)一个具有子域的森林

另外，如果我们可以使用一个单一的交换组织，那就太好了。任何建议都是非常感谢的。

Answer 1

Active

如果您真的想为每个客户拥有Active Directory，最好的解决方案是为每个组织单独设置AD林型，它们之间没有信任。您需要在每个组织中至少有一台服务器才能工作。

您不应该在所有客户域之间创建一个单一林，也不应该进行任何信任。这是因为客户不必访问彼此的资源(因此不需要信任)。

从技术上讲，跨几个组织有一个单一的域是可能的。但就你的情况而言，这不是一个可行的解决方案，也是一个非常糟糕的想法。

但是，如果您的客户大多是5家PC公司，它们可能没有办公服务器，那么您应该避免使用Active Directory。尝试研究设备管理解决方案(例如Microsoft )，并将客户转移到云管理平台(例如Azure Active )

Exchange

至于Exchange，您的选择如下：

1) Exchange Online --向客户出售Office 365计划，最低为每个邮箱每月4美元；2)服务器上托管Exchange。您将成为服务提供和支持所有服务器、基础设施、安全性等。这需要投资和管理费用，而且只有当您拥有大量的客户时才有意义。

使用选项1更容易，只需从销售计划中获得利润，跳过选项2中的所有费用。此外，选项1还附带了以前提出的使用Azure AD和基于云的设备管理解决方案的解决方案。

Answer 2

出于管理原因，我们希望客户端成为域的一部分。

我曾为许多托管服务提供商工作过，并与其合作过，但没有一家这样做。这不是一个好主意的原因有很多。

如果您需要简化如何为客户管理和管理IT资产和基础设施，那么您应该对高质量的RMM进行投资。

Answer 3

你不想让他们呆在不同的森林里。到目前为止，这是行业标准。如果出了问题，这是一个原因，那么您可能会有一些责任问题，因为您没有遵循一般认为的行业标准。

有一件事我见过一些猩猩做的就是拥有曾经被称为红色森林。我相信MS现在称它为ESAE (增强安全管理环境)。这里有权衡的地方。

https://www.google.com/search?q=enhanced+security+administrative+environment