合并/收购后的 Active Directory 整合策略

我打算停用其中一个 Active Directory 林并将其丢弃。维护多域，更不用说多林，Active Directory 只是一种痛苦。

如果您在森林中没有大量用户/计算机或复杂的文件系统权限被废弃，我什至不会使用 Active Directory 迁移工具之类的工具。

迁移工具非常适合快速完成任务，但如果您有时间在林之间建立信任关系并故意移动，您可以为依赖 Active Directory 的所有文件权限、应用程序和任何其他服务提供真正的顶级 -以受控和协调的方式彻底审查和吸收被收购的公司到您的 Active Directory 中，而不是从他们的广告中带来很多包袱，这些包袱将成为未来几年您脖子上的“遗留”磨石.

我会在森林之间建立信任关系，以便一个域中的用户可以登录到另一个域中的计算机。然后，客户端计算机的域成员身份变得有些无关紧要。我会将目标域的多个域控制器部署到被收购公司的办公室。您甚至可以将它们部署为现有域控制器上的虚拟机，不受 Windows 许可限制。

我会绘制出在被废弃的森林中使用的组策略，以及在目标森林中的阶段站点和 OU，以便在您移动计算机时容纳它们。您可能会发现他们并没有真正将组策略用于任何事情（令人沮丧的是，在 Active Directory 和组策略出现 9 年后仍然如此），但一定要考虑一下。

我会使用“NETDOM”工具部署一个启动脚本（参见http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx）将客户端计算机从不使用的林中分离出来，并将它们加入到目标林中。用户登录将继续正常工作，就像它们对被废弃林的用户所做的那样。

是否从不使用的林中迁移用户和组将取决于用户和组的数量以及在目标林中重新创建用户、组和文件系统 ACL 的难度。

你没有提到交易所。如果 Exchange 在起作用，您需要担心跨林/跨组织邮箱迁移。除非您更新并说您需要有关此问题的信息，否则我不会对此问题发表评论。

您正在寻找两种不同的方法来做到这一点： 1. 域信任（简单）：在您的两个域之间创建一个链接，以便您可以让域中的用户访问域 B 中的共享资源，反之亦然。您还可以创建仅在一个方向上起作用的单向信任 2. 域迁移：将所有对象（用户、计算机等）从一个域移动到另一个域。ADMT（Active Directory Migration Tool）是您通常在这里使用的工具箱。如果两个域都安装了 Exchange Server，您还可以查看从一个 Exchange 组织到另一个的邮箱迁移（Exchange 和 Active Directory 林之间存在一对一的关系，因此您不能简单地移动 exhcange AD 森林之间）。

正如 Sam 所指出的，这是您想要测试、测试和测试更多的地方！迁移本身并不复杂，但任何搞砸都可能是灾难性的。

埃文安德森会在这个问题上给你一个非常好的答案，但在他出现之前，我可以给你一些研究的东西。

基本上，您有一个 Active Directory“树”。这是你的域。你的新公司也有一个。他们的“树”是他们的领域。您要做的是将两棵“树”放在同一个“森林”中。我不是很可爱，这些是实际条款。

我只知道足够的技术知识知道我不知道答案。谷歌提供了一些好看的结果，但在你做之前一定要和知道的人谈谈。其他公司中是否有人具有更多 Windows 经验？

另外，我建议您为您使用的 Windows Server 版本选择一本 AD 书籍。他们很有启发性，作为一个 Linux 人，看到他们的心态有时会让人有点不安，但它通常是有效的。只是不一样。

祝你好运！

通常，您最终会使用 ADMT 或 Quest 之类的工具将所有相关对象（用户、组、计算机、服务器等）从一家公司拥有的域迁移到另一家公司的域中。

这需要一些重要的计划，并且您需要逐个应用程序查看服务器。有些东西很容易移动，例如文件和打印服务器，而其他东西，例如 SQL/SharePoint 则涉及更多。

ADMT 和类似工具可以为您完成所有机器的操作以及复制主体的工作。

尽可能缩短共存时间。运行这两个域只会带来麻烦。如果一个 AD 明显优于另一个 AD（其中更好 = 更好的管理模型、监控等），（或 DC 在一个生命周期中结束）将用户迁移到该 AD。否则，设置一个新域并在预定义的时间段内迁移到该域。