Minha empresa gerencia vários ambientes Windows Server locais para nossos clientes. Para efeitos desta pergunta, esses ambientes consistem em um controlador de domínio primário, um controlador de domínio secundário e um WSUS. Cada um desses ambientes foi criado isoladamente por outros provedores de serviços de TI, pois estão em suas próprias florestas de domínio. Veja a ilustração abaixo:
No entanto, esta arquitetura isolada que herdamos cria uma sobrecarga substancial para o helpdesk e para a equipe local. Somos contratados para fornecer serviços no local, gerenciar as atualizações do cliente (via WSUS), manter as políticas do Active Directory do cliente (para refletir as melhores práticas do setor) e realizar a administração básica do Active Directory. O que estou tentando alcançar? Em uma palavra 'cascata', quero definir um conjunto de políticas do Active Directory e, em seguida, fazer com que elas sejam distribuídas em cascata para os domínios do cliente, quero que a equipe e os técnicos do suporte técnico possam fazer logon usando uma conta comum do Active Directory, Quero enviar atualizações de uma conta comum do WSUS. Para conseguir o que foi dito acima, eu poderia migrá-los para uma floresta de domínio comum:
No entanto, quero manter o acoplamento o mais flexível possível. Num período de doze meses, o cliente poderia optar por migrar os prestadores de serviços de TI - eu tentaria libertá-los com o mínimo de esforço. Por outro lado, quero ser capaz de integrar novos clientes o mais rápido possível, com o mínimo impacto em seu ambiente. Portanto, acredito que uma abordagem baseada em relações de confiança florestal seria o melhor caminho a seguir:
O que as pessoas pensam sobre a arquitetura proposta acima? As relações de confiança florestal são a melhor forma de atingir os meus objetivos?
Responder1
Esta arquitetura isolada que herdamos cria uma sobrecarga substancial para o helpdesk e para a equipe local
Em primeiro lugar, seus clientes devem estar isolados uns dos outros e de você. As despesas gerais incorridas são o custo de fazer negócios. Isso é o que significa ser um MSP.
Tal como apresentado, é uma má ideia. Você não deve tentar criar relações de confiança de floresta/domínio entre esses clientes e você, ou entre clientes. Além disso, nenhum destes clientes deve estar ligado entre si a nível de rede. Se meu MSP tentasse fazer isso, eu o demitiria imediatamente.
É para isso que servem os RMM. Existem zilhões de soluções RMM no mercado, como Kaseya VSA, SolarWinds RMM, Atera, Continuum, Pulseway, Itarian, ConnectWise, etc., etc.