Моя компания управляет несколькими локальными средами Windows Server для наших клиентов. Для целей этого вопроса эти среды состоят из основного контроллера домена, вторичного контроллера домена и WSUS. Каждая из этих сред была создана изолированно другими поставщиками ИТ-услуг, поэтому они находятся в собственных лесах доменов. Смотрите иллюстрацию ниже:
Однако эта изолированная архитектура, которую мы унаследовали, создает существенные накладные расходы для службы поддержки и персонала на месте. Мы заключили контракт на предоставление услуг на месте, управление обновлениями клиента (через WSUS), поддержку политик Active Directory клиента (чтобы соответствовать передовой практике отрасли) и выполнение базового администрирования Active Directory. Чего я пытаюсь добиться? Одним словом «каскадировать», я хочу определить один набор политик Active Directory, а затем каскадировать их вниз к доменам клиента, я хочу, чтобы сотрудники службы поддержки и технические специалисты могли входить в систему, используя общую учетную запись Active Directory, я хочу отправлять обновления из общей учетной записи WSUS. Чтобы добиться вышеизложенного, я мог бы перенести их в общий лес доменов:
Однако я хочу поддерживать как можно более слабую связь. В течение двенадцатимесячного периода клиент может выбрать миграцию поставщиков ИТ-услуг — я бы постарался вывести их с минимальными усилиями. И наоборот, я хочу иметь возможность как можно быстрее подключать новых клиентов с минимальным воздействием на их среду. Поэтому я считаю, что подход, основанный на доверительных отношениях в лесу, будет наилучшим путем вперед:
Какие мысли у людей по поводу предложенной выше архитектуры? Являются ли лесные доверительные отношения лучшим способом достижения моих целей?
решение1
Эта изолированная архитектура, которую мы унаследовали, создает существенные накладные расходы для службы поддержки и персонала на местах.
Прежде всего, ваши клиенты должны быть изолированы друг от друга и от вас. Понесенные накладные расходы — это ваши расходы на ведение бизнеса. Вот что значит быть MSP.
Это, как представлено, плохая идея. Вам не следует пытаться создавать доверительные отношения Forest/Domain между этими клиентами и вами или между клиентами. Более того, ни один из этих клиентов не должен быть связан друг с другом на сетевом уровне. Если бы мой MSP попытался это сделать, я бы немедленно его уволил.
Вот для чего нужны RMM. На рынке представлено несметное количество решений RMM, таких как Kaseya VSA, SolarWinds RMM, Atera, Continuum, Pulseway, Itarian, ConnectWise и т. д. и т. п. Вам следует найти то, что соответствует вашим потребностям и бюджету, и использовать его.