Il modo migliore per condividere una networking tra partner di joint venture

SFONDO
La nostra società è recentemente entrata in Joint Venture (JV) in cui siamo il partner di gestione. Come partner di gestione, siamo responsabili della configuration e del supporto della networking. Questo JV è solo per un lavoro e nessuno dei due partner desidera che l'altro partner abbia accesso al resto delle reti esistenti.

Dobbiamo condividere file da una networking AD, un sistema telefonico VOIP, printingnti e un paio di server SQL. Il piano è quello di mettere fisicamente tutte le risorse condivise sul sito in questione e avere entrambi i partner JV accedere al nostro AD per l'authentication delle risorse condivise. Ognuno dei partner JV dispone di reti AD esistenti che verranno accedute tramite tunnel VPN da questo sito condiviso. Ognuno dei partner JV continuerà a conservare le proprie e-mail esistenti e le proprie quote esistenti dai loro siti di casa.

  • Collegamento di due dispositivi su 10Base-T Ethernet senza Switch
  • Configurazione di LACP tramite uno stack di switch IBM B50G
  • Metodo di ristrutturazione di networking per la networking Double-NAT
  • Due domini che accedono alla stessa cartella
  • Aumentare ip_conntrack_max in modo sicuro?
  • Ottieni indirizzi IP e nomi di computer nella stessa networking
  • Entrambi i partner sono attualmente i negozi Win2003R2 che eseguono WindowsXP con iniziative per spingere Windows7 nei prossimi 6 mesi. I server SQL sono la versione 2005.
    Questo sito sarà attivo per circa 4 anni.

    LE DOMANDE
    Come possiamo permettere al nostro partner di accedere al nostro AD, ma impedire loro di accedere a qualsiasi altro server, tranne quelli di quelli presenti sul sito?
    Come possiamo impostare questo in modo che i rispettivi reparti IT di ciascun partner possano gestire le workstation locali senza alcun privilegio amministrativo sul nostro AD?
    Attualmente stiamo lavorando dallo schema di networking qui sotto. Utilizzando VLAN è ansible impedire a ciascun partner JV di attraversare il collegamento VPN degli altri e consentire l'accesso alle risorse condivise, ma questa impostazione non consente a ciascun partner di joint venture di gestire le proprie stazioni di lavoro e gli utenti.

    Alcune altre idee che stiamo gettando in giro sono:

    • Creazione di una fiducia a due vie tra i partner JV e consentire a ciascun partner di gestire i propri utenti e le proprie macchine. Quali sono i vantaggi e minus a questo? Quanto dura questa fiducia?
    • Creazione di un nuovo dominio e impostazione di trust di un modo da ciascuno dei domini originali. Quali sono i vantaggi e minus a questo?

    Diagramma di rete

  • Calcoli per il calcolo del 90% per la width di banda
  • command net use per mostrare _all_ connessioni
  • Ottimizzato .htaccess per la memorizzazione nella cache?
  • Separare più WAN su Sonicwall
  • Non è ansible gzip alcuni file JS e CSS
  • Loadbalancing del DNS
  • One Solution collect form web for “Il modo migliore per condividere una networking tra partner di joint venture”

    re: "Come possiamo permettere al nostro partner di accedere al nostro AD, ma impedire loro di accedere a qualsiasi altro server, tranne quelli di quelli presenti sul sito?"

    Vi incoraggio fortemente a creare una foresta AD per le risorse JV. Creare fonti di foresta intransitiva a senso unico con le infrastrutture AD esistenti dei membri del JV. Utilizzando l'inoltro DNS selettivo, mantenere il DNS per il JV in una zona DNS integrata AD integrata ospitata dai server JV. Questo mantiene il partner a "lunghezza delle armi" dai propri server. Entrambi i partner dovrebbero esporre esplicitamente dati / applicazioni / server condivisi nell'area condivisa. Utilizzando l'AD esistente per la "area condivisa" puoi risparmiare un po 'di soldi sulla licenza, ma non vale la pena di aumentare il rischio e la complessità.

    re: "Come possiamo impostare questo in modo che i rispettivi reparti IT di ciascun partner possano gestire le workstation locali senza alcun privilegio amministrativo sul nostro AD?" e "Attualmente stiamo lavorando dallo schema di networking riportto di seguito. Utilizzando VLAN possiamo impedire a ciascun partner JV di attraversare il collegamento VPN degli altri e consentire comunque l'accesso alle risorse condivise, ma questa impostazione non consente a ciascun partner di joint venture di gestire postazioni di lavoro e utenti. "

    Non sono sicuro di capire. Vedo quello che stai dicendo re: isolare il traffico di networking dai membri del JV, ma non sto seguendo il resto. I membri della JV saranno in possesso di account utente e computer nei propri boschi AD o nella foresta JV? Non è chiaro a me. Vorrei che i membri della JV mantengano i loro account utente e computer nelle proprie foreste AD e concedano l'accesso alle risorse condivise di JV, sebbene l'appartenenza a gruppi nella foresta JV AD.

    Ohh! Penso che lo farò. In questo "sito" ci saranno alcuni computer client che vengono condivisi dagli utenti da entrambi i membri JV che lavorano insieme! Ho ragione?

    È ansible gestire i computer "condivisi" in diversi modi.

    Probabilmente avrei unito i computer al dominio JV AD, ma forse no. La properties; dei computer client probabilmente dettare come gestire ciò. Se i computer client rimangono con ciascun membro della JV, credo di poterli associare al dominio AD del membro JV in possesso.

    Con i computer client collegati agli account utente di dominio JV AD da un dominio membro JV (così come dal dominio JV AD stesso) potrebbero essere utilizzati per l'accesso ai computer client (poiché esisterebbero relazioni di trust dalla foresta di JV AD a le foreste AD dei membri).

    Tieni presente che sarebbe utile avere controllori di dominio di sola lettura da ciascun tree AD di each membro presente sul "sito condiviso". Se i computer client ared associati al criterio di gruppo del computer di foresta JV AD provengono dalla foresta JV AD. La politica dei gruppi di utenti deriverà dalle foreste AD degli utenti, per cui sarebbe utile un DC locale. Se i computer client si uniscono alle foreste AD degli utenti allora, ovviamente, avere una DC locale dalla foresta di each membro sarebbe bello.

    La delegazione del controllo nella foresta di JV AD può essere utilizzata per dare al personale IT del membro JV tutte le abilità necessarie nella foresta JV AD stessa. La politica di gruppo "Gruppi ristretti" potrebbe essere utilizzata per concedere ai diritti di amministratore dei membri del team JV i diritti di amministratore sui "loro" computer client che sono associati al dominio JV AD. (I computer client che rimangono nei boschi AD dei membri sono un punto indiscusso.)

    re: "Creazione di una fiducia a due vie tra i partner JV e consentire a ciascun partner di gestire i propri utenti e le proprie macchine, quali sono i vantaggi e gli altri minori? e "Creazione di un nuovo dominio e creazione di trust di un senso da ciascuno dei domini originali. Quali sono i vantaggi e gli altri minori?"

    Una "relazione di trust" di Windows non concede l'accesso a nulla, di per sé. Guarda questa dichiarazione: "Dominio Un trust domain B."

    Ora, sostituire la parola "trusts" con la frase "è consentito specificare negli utenti, gruppi e computer di autorizzazioni": "Il dominio A è autorizzato a specificare gli utenti, i gruppi e i computer di autorizzazioni dal dominio B."

    Una "fiducia" non concede l'accesso, ti consente la possibilità di concedere l'accesso . Se si dispone di una foresta dedicata JV AD, si desidera avere trust esterni intransitivi a 1 istanza esterno con i tag AD di membri del gruppo JV in modo che gli utenti ei gruppi della foresta dei membri della JV possano essere nominati in autorizzazioni o associati a gruppi nel Foresta JV AD. Ciò consentirebbe agli utenti e ai computer di gestire each membro JV da gestire nella propria foresta AD di tale membro. Utilizzando i gruppi che si trovano nella foresta di JV AD per controllare le autorizzazioni alle risorse JV, il JV potrebbe effettivamente gestire l'authorization per l'accesso alle risorse JV.

    Non vorresti una fiducia a due vie in qualsiasi circostanza, dalla mia comprensione della tua situazione. Sono corretto pensare che non sia reciprocamente auspicabile per il membro JV di nominare gli utenti, i gruppi oi computer dell'altro membro nelle autorizzazioni? Suona come non ci saranno risorse condivise ospitate su server di properties; di entrambi i membri JV, quindi la fiducia reciproca non è necessaria. Detto questo, ancora una volta, una fiducia a due vie consente solo la possibilità di concedere l'accesso e in realtà non concede alcun accesso.


    Ho qualche esperienza con un progetto simile qualche anno fa tra un'associazione hospitale locale e diversi gruppi di medici. Nel loro caso, hanno creato una foresta AD dedicata per il JV, ma non hanno creato relazioni di fiducia con le infrastrutture dei membri del JV esistenti. Abbiamo finito con credenziali duplicate in entrambi gli AD del membro JV e il JV AD. Quella era la più grande "verruca" che ho visto nella loro networking e qualcosa che avrei evitato in futuro.

    Vedo che sei in costruzione. Ho un cliente che fa ingegneria di contatti e gestione di progetti per progetti di costruzioni su larga scala e spesso ha impiegati situati negli uffici di settore (aka "rimorchi") nei siti del cliente per anni alla volta. Devo ancora avere una situazione in cui il cliente o un altro imprenditore del progetto abbiano il livello di dettaglio che stai cercando, ma la situazione che ho descritto in precedenza sarebbe come avrei perseguito se fosse accaduto. La spesa di alcune licenze di Windows Server e di computer per ospitare i controller di dominio per il JV AD (e gli utenti DC in sola lettura in loco) non è molto ammortizzata in 4 anni e crea una base molto solida su cui condurre condivise operazioni.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.