挑战
为实现现代化工作场所计划,增强网络安全性 并简化IT 工作负载,BAM 需要将其六个Active Directory 域整合成为一个。
解决方案
使用On Demand Migration by Quest®,IT 团队能 够在几乎不会对业务用户造成任何中断的情况下完 成项目。在该项目期间,BAM 团队与Quest 专家 合作,打造了现在广受全球组织推崇的远程迁移 功能。
身份管理是IT 服务和网络安全的基础。
BAM 是一家出色的施工、设施管理和物业服务公 司,而且是Royal BAM Group 的一员。该公司提 供集成的解决方案,从新设施的设计和施工到大 楼的管理都包括在内。BAM 经营的领域涵盖商 业、教育、科学和实验、司法、住宅和遗产,并 且办公室网络遍及英国、爱尔兰和欧洲大陆。 该公司通过战略收购,在过去几年实现了显著 的增长。经过一段时候后,其IT 环境包含六个 单独的Active Directory 域,以及一个供所有AD 域进行同步的Microsoft 365 租户。该复杂性严 重阻碍了他们实现重要业务目标的步伐。相应 地,新上任的全球基础架构和云主管Jeremy Mumford 制定了新的业务策略,以期将公司的 IT 占用空间与Active Directory 整合为中心点。
“在我们整合Active Directory,为用户打造单个 身份之前,我们无法为业务带来所需的现代化工 作场所系统”,担任迁移项目的项目经理的BAM IT 业务合作伙伴Himesh Katechia 说。“最大的 挑战之一是打造BAM 现代化办公场所:直接从 源发货的笔记本电脑,内置在用户的家庭环境 中,连接到互联网等等,使用户之旅更加轻松。”
但是,提高用户工作效率只是AD 整合的优势之 一。“使用单个域不仅可以实现工作场所现代化; 还使您可以增强安全性”,Katechia 补充道。“当 您不得不管理七个单独的目录时,就无法实现流 程或原则的集中化。例如,不同的业务部分在台 式机上使用不同的防病毒软件和不同的安全解 决方案,这增加了风险。通过打造单一的Active
Directory 体系结构并安排单个团队负责进行管 理,我们大大减少了我们的攻击面占用空间。”
最好的计划…
除了制定AD 整合策略,Mumford 还拥有用来 完成工作的合适工具:On Demand Migration by Quest。“我们甚至没有真正去了解任何竞争 对手的解决方案,因为我们主管的建议非常正 确:Quest 迁移解决方案就是用于完成我们AD 整合项目的理想工具”,Katechia 说。“当我们 看到演示,亲眼目睹它的功能后,我们就决定 购买它。实际上,它是一个功能非常强大的工 具,我想我们最终也只是使用了它完整功能的 30% 或40%,因为这足以满足我们的需求。”
IT 团队安装了该解决方案,制定了妥善的迁移计 划,并且已准备好开始进行测试。然后,新冠疫 情突然爆发。就像全球其他公司一样,BAM 将其 技术焦点转移到实现远程办公上,而诸如Active Directory 迁移等大型项目不得不暂时搁置。
与Quest 合作为远程迁移开创新的流程
但是,经过一段时间后,该项目重新成为优先 事务。毕竟整合为单个AD 域对于公司的许多 业务目标来说都是一个促成因素,而且团队深 知该项目的成功至关重要。不过,原始项目计 划显然必须经过完全修改,因为IT 团队和业 务用户都因疫情限制而无法回到办公室。
“我们与Quest 团队进行会面以探索新的方法”, Katechia 回忆说。“然后我们迎来了灵感乍现的时 刻: 我们能不能远程进行迁移?我们的员工建立连 接,然后进行工作。我们能不能使用各种不同的远 程技术,而不是使用产品提供的离线加入域功能?”
BAM 和Quest 的专家集思广益,共同制定了新 的策略,然后开发了新的脚本和流程来实现远程 迁移。BAM 团队创建了新的防火墙规则,添加 了安全证书,并进行了其他必要的技术更改。
“我们发现不必让用户出差到任何地方即可完成 迁移工作,只要他们拥有互联网连接,我们即可 为他们进行迁移”,Katechia 说。“我们使用一些 模拟帐户进行了测试,结果大获成功。然后,我 们继续对IT 团队的一些成员进行迁移;我坐在 家里就成功完成了迁移。我们可以配置旧域中的 计算机,并启动迁移过程,而且可以通过用户的 家庭互联网连接进行重启并重新连接到新域。”
将六个Active Directory 域中的6,000 位用 户整合到一个域中,而且以远程方式实现
风险很大。AD 整合项目需要继续,因为它是 其他许多项目的促成因素。但是,迁移过程是 全新的,而且该公司不能承受出现使用户无 法工作的局面。因此IT 团队制定了周详的计 划,并针对可能出错的情况实施了补救机制。
结果是实现了绝对的成功。“我们将大约6,000 个 用户对象整合到单个Active Directory 中,并且受 影响的用户不到5%,他们需要我们进行诸如重新 安装笔记本电脑等后续工作”,Katechia 说。“请记 住,这些用户来自六个具有完全不同体系结构和运 营模式的不同域。例如,我们在一位用户乘飞机飞 往牙买加度假时,为她完成了迁移;在某位用户
因疫情致使航班取消而滞留巴基斯坦时,为其完 成了迁移。我们甚至在一位现场经理驾驶卡车工 作时为其完成了迁移。该项目进行地非常顺利。”
该项目还涉及一个租户迁移,该迁移也顺利完 成。“我们只有一个租户,并且全部六个域都 设置为与它进行同步”,Katechia 解释说。“我 们开始将所有用户迁移至目标域时,就能够 与它进行同步,而且现在每个人都可以使用 Microsoft Teams、Exchange Online、SharePoint Online 和OneDrive 等关键应用程序。”
以出色的敏捷性应对迁移期间的各种小问题
迁移过程确实需要根据不同组的VPN 技术进行调 整;一些组使用Microsoft Direct Access (MDA), 而其他组则使用第三方VPN 客户端。但是,业务 的施工方使用的是Cisco Any Connect,而BAM 没有团队所需模块的相关许可。因此他们等待疫 情限制被解除后,作为Windows 10 功能更新的 一部分为这些用户部署了Microsoft Always On VPN。然后,这些用户可以选择进入办公室进行 迁移,或者在家进行迁移;这2,000 位用户中 大约60% 的用户通过远程方式完成了迁移。
另一个小问题是,在迁移已在进行的过程中,业 务策略发生了变化。“BAM 决定剥离我们的两个德 国公司,以及比利时的部分业务”,Katechia 回忆 说。“在我们的新业务指示公布时,我们的一项迁 移已进行了10%,另一项迁移进行了5%,而我们 需要变更路线。通过与Quest 合作,我们使用相 同的工具重新进行了迁移,只是顺序反了过来。”
将身份统一在单个域中带来了许多优势
由于疫情以及制定新的远程迁移策略的需要,BAM 向单个AD 域的迁移之旅比预期要复杂得多。但 是迁移工作带来的回报也是多方位的。“AD 整合 带来了我们之前无法触及的各种机会”,Katechia 说。“最大的优势是为BAM 现代化工作场所铺 平了道路。以前,我们团队可能一直使用很好的 应用程序,例如功能强大的Digital Construction Workspace VDI Platform,但是其他用户无法访问 它们。现在,其他用户也可访问这些应用程序。 此外,我们还能够启动许多全局系统,如果没有 进行AD 整合,则需要进行许多体系结构重新配 置和复杂的同步,而现在这些系统即时可用。”
相关优势远不止这些。“我们增强了网络安全,并 简化了广泛的IT 管理任务”,Katechia 补充道。“我 们将以前使用的各种不同电子邮件扩展名迁移到 了BAM.com。这是比较软的优势,但是有助于提 升我们的形象,而且从品牌角度来看非常重要。”