Как правильно подключать филиалы к домену?

Question

[Виталий Малий]

Добрый день, работаю в компании в которой есть филиалы в других городах.
Везде внедряется AD. На данный момент стоит задача заложить основу(группы, политики и т.д), что бы потом просто подключить всех пользователей и все работало. Кое что уже было сделано, а именно созданы подразделения и группы, и на данный момент все 3 филиала и пользователи в них просто разбросаны по определенным подразделениям. Хотел бы уточнить правильная ли это концепция ? Потому как есть видео https://www.youtube.com/watch?v=45FzcvixuZs&t=1276s в котором спикер рассказывает про сайты, смотрю и соображаю что там где я работаю все сделано не так. Чем может грозить не правильная структура домена ? Все филиалы объединены через gre туннели и имеют высокоскоростное подключение

Answer 1

[Дмитрий Шумов]

Вы не путайте AD и сайты. Вернее так, сайты, конечно же часть AD, но используются тогда, когда подсети у вас разные с филиалами и в каждом есть свой DC который должен реплицироваться с главным DC. Так что в принципе на DC у вас можно организовать OU по филиально, в каждом филиале поместить DC и реплицировать между собой все. Ну если только вы не решите выделять филиалы в поддомены....

Answer 2

[Alexey Dmitriev]

Отдельные OU в корне для всех типов объектов, которые отдельные у подразделений.
Например:
Groups
Servers
Clients
Users
Admin
В каждой OU отдельные sub-OU для каждого филиала.
Это самая простая структура для назначения GPO - глобально на все серверы\юзеров\компьютеры или на серверы\юзеров\компьютеры одного филиала и т.п.
Внутри Admin - админские аккаунты, группы, сервисные аккаунты и т.п. Можно также по филиалам разнести внутри.

А AD Sites - как вам уже сказали - это деление для контроллеров домена и зоны их обслуживания.