Mi empresa gestiona varios entornos locales de Windows Server para nuestros clientes. A los efectos de esta pregunta, estos entornos constan de un controlador de dominio principal, un controlador de dominio secundario y un WSUS. Cada uno de estos entornos fue creado de forma aislada por otros proveedores de servicios de TI, por lo que se encuentran en sus propios bosques de dominio. Vea la ilustración a continuación:
Sin embargo, esta arquitectura aislada que hemos heredado crea una sobrecarga sustancial para el servicio de asistencia técnica y el personal in situ. Estamos contratados para brindar servicios en el sitio, administrar las actualizaciones del cliente (a través de WSUS), mantener las políticas del directorio activo del cliente (para reflejar las mejores prácticas de la industria) y llevar a cabo la administración básica del directorio activo. ¿Qué estoy tratando de lograr? En una palabra, "cascada", quiero definir un conjunto de políticas de directorio activo y luego hacer que caigan en cascada a los dominios del cliente, quiero que el personal de la mesa de ayuda y los técnicos puedan iniciar sesión usando una cuenta común de directorio activo. Quiero enviar actualizaciones desde una cuenta WSUS común. Para lograr lo anterior, podría migrarlos a un bosque de dominio común:
Sin embargo, quiero mantener un acoplamiento lo más flexible posible. En un período de doce meses, el cliente podría optar por migrar a los proveedores de servicios de TI; yo buscaría liberarlos con un mínimo esfuerzo. A la inversa, quiero poder incorporar nuevos clientes lo más rápido posible con un impacto mínimo en su entorno. Por lo tanto, creo que un enfoque basado en relaciones de fideicomiso forestal sería la mejor manera de avanzar:
¿Qué piensa la gente sobre la arquitectura propuesta anteriormente? ¿Son las relaciones de fideicomiso forestal la mejor manera de lograr mis objetivos?
Respuesta1
Esta arquitectura aislada que hemos heredado crea una sobrecarga sustancial para el servicio de asistencia técnica y el personal en el sitio.
En primer lugar, sus clientes deben estar aislados unos de otros y de usted. Los gastos generales incurridos son el costo de hacer negocios. Eso es lo que significa ser un MSP.
Esto tal como se presenta es una mala idea. No debe intentar crear fideicomisos de bosque/dominio entre estos clientes y usted, o entre clientes. Además, ninguno de estos clientes debe estar vinculado entre sí a nivel de red. Si mi MSP intentara hacer esto, lo despediría inmediatamente.
Para eso están los RMM. Hay millones de soluciones RMM en el mercado, como Kaseya VSA, SolarWinds RMM, Atera, Continuum, Pulseway, Itarian, ConnectWise, etc., etc. Debe encontrar una que se ajuste a sus necesidades y a su presupuesto y utilizarla.