我们为许多中小型企业提供托管 IT 服务。我正在寻找一种解决方案，以可扩展的方式管理我们对客户 AD 林的访问。

现在，我们在 AD 中手动创建自己的登录，并具有足够的权限。正如您可以想象的那样，这并不能很好地扩展，因为我们获得了员工并且需要能够撤销密码等......涉及手动登录每个客户端以更新 AD。

对于我们几乎所有的客户，我们管理他们的整个 IT 基础设施，包括 AD、所有服务器、网络等……所以如果我们能够获得可靠的解决方案，我们应该能够合理地修改客户的 AD 配置以实现我们的目标.

我们还提供托管服务，因此我们有一种可靠的方式来托管我们自己的基础设施，供客户同步回。

我想要什么

• 一种能够跨站点/森林等集中管理多个客户的 AD 帐户的方法......

• 最好，我们会切换到为客户 AD 中的每个技术人员创建自己的帐户，这样我们就有一定程度的责任感，并且访问策略可以更加细化。

• 显然，上述观点引发了对污染客户广告的担忧（尽管我们现在没有太多人），所以我们想尽量避免让客户不得不经常看到我们的用户。这当然是一个棘手的问题，但也许简单地将我们的用户放在一个单独的 OU 中可以部分解决这个问题。

• 我们的主要目标是简化招聘/解雇流程，并减少人为错误的可能性（例如，在访问权限分解期间错过禁用客户 X 的访问权限）。因此，密码重置、禁用用户等内容应该在某种程度上同步。我想权限不是问题，因为无论如何它们都可以基于每个客户。

• 多平台也是一个目标。我们还需要能够管理路由器和 Linux 机器，RADIUS 似乎是一个显而易见的选择。

• 服务器大多是 Windows 2008 R2，一些 Windows 2012，一些 Linux，Cisco 和 Juniper 设备。

• 我应该添加 RADIUS 等...不应该是 AD 的唯一来源。目标是让客户现有的 AD 帐户满足他们的需求，然后从 RADIUS 导入我们自己的帐户。

我试过的

到目前为止，我一直专注于以某种方式将 RADIUS 帐户集成到 AD 中——但我发现的一切更多的是关于使用 AD 作为 AD 集成的主源，而我想要更多相反的东西。

我认为 RAIDUS 对我们来说很有意义，因为我们的许多托管基础设施都是非 Windows 的，即使我们的客户主要是基于 Windows 的。无论如何，我们也希望为我们的 DSL 尾部提供 RADIUS 身份验证。为所有员工帐户提供单一的事实来源是有意义的。

很想听听处于类似情况的人如何解决这个问题，因为我在网上找不到太多东西。

谢谢。