Mein Unternehmen verwaltet für unsere Kunden eine Reihe von lokalen Windows Server-Umgebungen. Für diese Frage bestehen diese Umgebungen aus einem primären Domänencontroller, einem sekundären Domänencontroller und einem WSUS. Jede dieser Umgebungen wurde isoliert von anderen IT-Dienstleistern erstellt und befindet sich daher in ihren eigenen Domänengesamtstrukturen. Siehe Abbildung unten:
Diese isolierte Architektur, die wir übernommen haben, verursacht jedoch einen erheblichen Mehraufwand für Helpdesk und Vor-Ort-Mitarbeiter. Wir sind vertraglich verpflichtet, Vor-Ort-Dienste bereitzustellen, die Updates des Kunden zu verwalten (über WSUS), die Active Directory-Richtlinien des Kunden zu pflegen (um die Best Practices der Branche zu berücksichtigen) und grundlegende Active Directory-Verwaltung durchzuführen. Was versuche ich zu erreichen? Mit einem Wort „kaskadieren“: Ich möchte einen Satz Active Directory-Richtlinien definieren und diese dann auf die Domänen des Kunden herunterkaskadieren lassen, ich möchte, dass sich Helpdesk-Mitarbeiter und Techniker mit einem gemeinsamen Active Directory-Konto anmelden können, ich möchte Updates von einem gemeinsamen WSUS-Konto übertragen. Um das oben genannte zu erreichen, könnte ich sie in eine gemeinsame Domänengesamtstruktur migrieren:
Ich möchte jedoch eine möglichst lockere Kopplung beibehalten. In einem Zeitraum von zwölf Monaten könnte der Kunde sich für die Migration seiner IT-Dienstleister entscheiden – ich würde versuchen, sie mit minimalem Aufwand herauszuholen. Umgekehrt möchte ich neue Kunden so schnell wie möglich und mit minimalen Auswirkungen auf ihre Umgebung an Bord holen können. Daher glaube ich, dass ein Ansatz, der auf Vertrauensbeziehungen in einer Gesamtstruktur basiert, der beste Weg ist:
Was denken die Leute über die oben vorgeschlagene Architektur? Sind Vertrauensbeziehungen im Gesamtverbund der beste Weg, um meine Ziele zu erreichen?
Antwort1
Diese isolierte Architektur, die wir übernommen haben, verursacht einen erheblichen Mehraufwand für Helpdesk und Vor-Ort-Personal
In erster Linie sollten Ihre Kunden voneinander und von Ihnen isoliert sein. Der entstehende Aufwand ist Ihr Geschäftsaufwand. Das bedeutet, ein MSP zu sein.
Dies ist in der dargestellten Form keine gute Idee. Sie sollten nicht versuchen, zwischen diesen Clients und Ihnen oder zwischen Clients Gesamtstruktur-/Domänenvertrauensstellungen zu erstellen. Darüber hinaus sollte keiner dieser Clients auf Netzwerkebene miteinander verbunden sein. Wenn mein MSP dies versuchen würde, würde ich ihn sofort feuern.
Dafür gibt es RMMs. Es gibt unzählige RMM-Lösungen auf dem Markt, wie etwa Kaseya VSA, SolarWinds RMM, Atera, Continuum, Pulseway, Itarian, ConnectWise usw. Sie sollten eine finden, die Ihren Anforderungen und Ihrem Budget entspricht, und diese dann verwenden.