Aussenstellen in Sites/OUs oder Subdomänen?

[ULeu 10]

Guten Morgen allerseits.

 

ich stehe hier vor einem in verschiedenen Foren schon hundert Mal diskutierten Problem:

 

- Zentrale, AD 2008, Exchange 2010

- Mehrere nach und nach hinzugekommene Aussenstellen, 10-20 Clients groß, AD 2003 / 2008, POP3 Mail

- Jede Aussenstelle hat eigene Server, es laufen dort fachspezifische Anwendungsserver

- jede Aussenstelle ist eine unabhängige Domäne mit eigenem DC

- es ist wahrscheinlich, dass in der Zukunft weitere solche Aussenstellen dazu kommen

- wir werden in Kürze einige dieser Server erneuern

 

Wir möchten die Aussenstellen alle an unser Exchange anbinden. teils sind die Internetzugänge dürftig aber funktionell und dafür erstmal ausreichend.

 

Ich stehe also vor der Frage, bringe ich die per Sites und OU's flach in unser AD oder baue ich eine Struktur auf, in der ich unter unserer Domäne in der Zentrale Subdomänen anlege. Mit beiden Varianten teste ich seit einiger Zeit, was mich aber immer noch nicht zu einer Tendenz bringt. Der letzte Beitrag den ich dazu gelesen habe ist: http://www.mcseboard.de/topic/172139-root-childdomain-exchange-geht-das-so-%C3%BCberhaupt/

 

Weitere facts:

- in manchen Aussenstellen gibt es externe Dienstleister, die vor Ort alles administrieren sollen, also User im AD, PCs, die Server, das Netzwerk

- die AD-Administration könnte ich denen zur Not wegnehmen und nur noch bei uns belassen, Server- und Clientadmins müssen sie aber bleiben

- Unsere Domäne möchten wir nicht wegmigrieren, also eine leere root möchten wir nicht schaffen sondern alles unter unserer Domäne anlegen

 

Gern möchte ich eure Hilfe erbitten, mir da noch Denkanstöße zu geben, es soll dann bald losgehen.

 

Vielen Dank schonmal

 

Uwe

 

-- Manchmal denke ich, ich wäre oft irgendwie unentschlossen - aber so ganz sicher bin ich mir da nicht ;) --

[NilsK 2.785]

Moin,

 

generell sollte man den Aufbau von Multi-Domänen-Strukturen vermeiden. Die Nachteile solcher Aufbauten sind fast immer größer als der Nutzen.

 

[Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]
http://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/

 

Um einen Multi-Domänen-Forest aus der bestehenden Umgebung zu bauen, müsstest du alle Außenstellen-Domänen auflösen und als Subdomains neu installieren. Riesiger Aufwand, wenig Nutzen. Eine Absicherung gegenüber einer Einzeldomäne hättest du damit auch nicht, denn die Sicherheitsgrenze ist der Forest, nicht die Domäne.

 

Über diese allgemeine Anmerkung hinaus solltest du dir aber einen kundigen Berater suchen und die Entscheider des Unternehmens dazuholen. So ein Design macht man nicht "mal eben".

 

Gruß, Nils

[ULeu 10]

Herzlichen Dank.

Den faq-o-matic Artikel kenne ich natürlich auch schon (trotzdem danke).

 

Mit externer Hilfe werden wir uns auf die größere Baustelle begeben, wir haben auch noch 4 große Domänen mit eigenen Exchanges in eine gemeinsame Umgebung zu überführen. Ansonsten bilde ich mir ein, hier im Team genug Halbwissen zu haben um die kleinen Standorte selbst zusammenzurödeln.

 

Nach meinen bisherigen Erfahrungen und Tests gefällt mir die Delegation von Rechten auf OUs in einer flachen Struktur genau so wenig wie die Adminbeschränkungen in einer Subdomäne. Trotzdem denke ich nach dem ganzen Lesen dann doch, dass vielleicht das Denken in eine flache Struktur - zumindest bei den Einrichtungen um die 10-15 User, anscheinend die Variante mit der größeren Anzahl an Empfehlungen ist.

 

Weitere Hinweise dazu?

[NilsK 2.785]

Moin,

 

besteht denn überhaupt Bedarf, dort mit Delegation zu arbeiten? Das ist normalerweise nur nötig, wenn es delegierte Administratoren gibt (bei Außenstellen mit 10 Usern eher unüblich) oder wenn die Subs voneinander isoliert werden sollen (bei Außenstellen desselben Unternehmens auch unüblich).

 

Gruß, Nils

[ULeu 10]

Die sind teilweise ziemlich weit weg. Zumindest die Turnschuh-Dinge möchten wir von kleinen vor-Ort IT-Dienstleistern machen lassen. Auch mal eben ein Update der Fachsoftware auf dem Server bzw. danach auf den Clients. Das ist hier so strukturiert, wir können in den entlegenen Standorten nicht alles selbst machen, auch nicht remote. Dafür fehlt uns schlicht manpower. Also brauche ich Accounts, die zuminest lokale Admins sind oder eben Site-Admins. Aber die auf keinen Fall ansonsten irgendwo im AD rumrühren können.

 

10 User heisst ja nicht, dass da nur 10 Leute arbeiten. Ist im Bereich healthcare, also müssen die 10-20 User z. B. Dienstpläne und Zeiterfassung für eine größere Menge Leute bearbeiten, plus Pflegesoftware, Patientendatensoftware a'la Mini-KIS. Da hängt schon ne Menge dran. Eine lokale Basis ist gerechtfertigt solange man zu kleinen Preisen in einigen Gegenden keine brauchbaren Internetanschlüsse bekommt. Naja, für ne AD-Replikation reicht es ;)

 

Gern nehme ich einen Fahlplan an wie man einen ordentlichen Site-Admin anlegt, dazu habe ich noch kein erschöpfendes Tut gefunden. Mit Delegierungen auf OU habe ich mittlere Erfahrungen.

[NilsK 2.785]

Moin,

 

OK, dann ist das natürlich eine legitime Anforderung. Um so mehr brauchst du dann aber ein gutes Design. Und um so weniger würde dir an der Stelle ein Multi-Domänen-Forest wirklich weiterhelfen.

 

Einen Standard-Fahrplan oder so wird man da nicht aufbauen können, weil es genau an der Stelle ja auf die organisatorischen Vorgaben des Unternehmens ankommt.

 

Gruß, Nils

[ULeu 10]

Okay, nochmals herzlichen Dank für Deine Hinweise die all das bestätigen, was ohnehin in meiner Recherche schon so rüberkam. Also dann jetzt intensivere Beschäftigung mit der Zielstruktur innerhalb meiner flachen Domäne.

 

Gruesse

 

Uwe