Zum Inhalt wechseln


Foto

Shared AD Modell


  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 Pderlet

Pderlet

    Newbie

  • 4 Beiträge

 

Geschrieben 11. Juli 2017 - 05:55

Hallo zusammen, 

 

ich habe hier mal eine Frage. Unsere Firma ist ein HostingUnternehmen. Aktuell betreuen wir 1 großen Kunden mit eigenem AD und Exchange. In Zukunft sollen neue Kunden hinzu kommen. Hierfür soll ich mir eine Art Shared AD Modell überlegen. 1 AD mit mehreren Kunden. Unsere Admins sollten einmal im AD angelegt werden und immer Adminzugriff auf die jeweilige Kundendomain bekommen. Hat einer von euch schon so ein Modell aufgebaut? Wie sind eure Erfahrungen? Wie sieht es mit dem Thema Security aus? Ich lebe ja eher nach dem Motto keep it simple... Von den Lizenzkosten her sollte es so billig wie möglich sein was ja bei einem Ein Domain Modell pro Kunde nicht möglich ist. Einen Shared Exchange sollten wir ebenfalls aufsetzen.

 

Vielen Dank schon mal für euren Rat!

 

Gruß,

Patrick



#2 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 11. Juli 2017 - 06:45   Lösung

Moin,

 

kurze Antwort: Der Gedanke ist naheliegend, aber vergiss es.

 

Längere Antwort: Weder das AD noch Exchange sind wirklich für so ein Mandantenmodell geeignet. Man müsste derart viel in den Berechtigungen des AD und von Exchange ändern, dass die Umgebung kaum noch verwaltbar ist. Zudem befindet man sich sehr schnell in einem Zustand, der von Microsoft nicht mehr supported wird.

Du müsstest ein AD bauen, in dem User eines Kunden die User anderer Kunden nicht "sehen" können. Das erfordert sehr komplexe Berechtigungen, die teilweise für jedes Objekt neu gesetzt werden müssten. Da Exchange sich seit einigen Jahren nicht mehr an die AD-Berechtigungen hält, müsstest du das für Exchange dann noch mal separat machen. Mit sehr viel Aufwand bekommt man das zwar technisch hin, es ist dann aber sehr wahrscheinlich, dass viele Programme und Funktionen nicht richtig damit klarkommen.

 

Die meisten Hoster haben das auch festgestellt und arbeiten daher tatsächlich mit einer Umgebung pro Kunde. Bezüglich der Lizenzkosten macht das meines Wissens kaum einen Unterschied: Da man hier mit SPLA-Lizenzierung arbeiten muss, ist die Zahl der User das Kriterium, die Serverlizenzen fallen dann kaum noch ins Gewicht.

 

Ich habe das mit mehreren Kunden durchevauliert, die haben sich alle für das simple Modell "eine Domain pro Kunde" entschieden. Für die Administration könnte man sich dann überlegen, eine zentrale Admin-Domain zu bauen, die die Adminkonten hält und per Trust auf die Kundendomains zugreift. Das hat aber Sicherheitsimplikationen, die man auch sorgfältig durchdenken sollte.

 

Gruß, Nils


Bearbeitet von NilsK, 11. Juli 2017 - 06:47.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 Pderlet

Pderlet

    Newbie

  • 4 Beiträge

 

Geschrieben 11. Juli 2017 - 07:18

Hallo Nils, 

 

vielen Dank für die schnelle Antwort. Das dachte ich mir schon. Die zentrale Admin-Domain könnte man doch nehmen um noch einen zentralen WSUS Server für sämtliche Kundenserver einzusetzen oder sagst du hier auch pro Kundendomäne einen WSUS Server?

 

Gruß,

Patrick


Bearbeitet von Pderlet, 11. Juli 2017 - 07:19.


#4 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 11. Juli 2017 - 08:54

Moin,

 

das wären sicher Dinge, die man konsolidieren kann. Das sind dann konzeptionelle Fragen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!