Universal Groups statt Local Groups

[oh2002]

Liebe Leute,
habe heute eine neue Sichtweise eines IT-Beraters gehört:
AGDL-Prinzip ist in einem single-Forest out, Universal Groups verwenden spart Gruppen -> Benutzer sind Mitglieder der jeweiligen Universal Group und diese hat direkt Rechte auf das Filesystem bzw. auf die einzelnen Shares.

Angeblich ist das mittlerweile eine Empfehlung von Microsoft.

Was haltet ihr davon?

Lg, Oliver

[FrankMK]

HI,

kurz und bündig - nichts. So wirds nämlich reichlich unübersichtlich.

Liebe Grüße

Frank

[grizzly999]

Ich kenne diese Empfehlung nicht

Abgesehen davon: in einem Single Domain Modell könnte man rein theoretisch immer mit einem Benutzer-in-Gruppe-Modell->Resource Modell arbeiten.
Wo wäre in dem beschriebenen Fall (UG) der Unterschied, ob ich die User in eine GG oder eine UG oder eine DL stecke und der Gruppe direkt die Berechtigung gebe?! IMHO nirgends.

Die empfohlene Vorgehensweise ist auch bei MS bis dato, das AGDLP-Prinzip.
Und bei Migrationen merkt man dann u.U. was man daran hat

grizzly999

[Wäscherei]

Macht doch keinen Sinn, oder? Außer man will mehr Verwaltungsaufwand, weil unübersichtlich.

[Operator]

Das ganze hat noch einen Haken:
Jede Änderung der universellen Gruppen wird auf alle GC's repliziert. Das kann bei vielen Benutzern schon was ausmachen, vor allem wenn langsame WAN Leitungen zwischen den Standorten vorhanden sind.

Andre

[grizzly999]

Veto: in einem Single-Domain-Model werden sowieso sämtliche Änderungen repliziert, da entsteht durch eine (in dem Fall nicht vorhandene separate GC-Replikation) kein Byte mehr Traffiic.
In einem Multi-Domain-Model wäre das was anderes, aber selbst da wird Replikatiionsverkehr zu sehr überschätzt, dieser GC-Repl-Verkehr sowieso.


grizzly999

[oh2002]

Genau das letzte Argument ist auch das des Beraters, dass die Replikation im Single Forest keine Rolle spielt und die Universal Group was Verschachtelungsmechanismen angeht keinen Nachteil gegenüber anderen Gruppen hat.

Oliver

[grizzly999]

... die Global Group in einem Single-Domain Modell aber auch nicht, wenn ich nicht irre


grizzly999

[blub]

Hallo oh2002.
erstens: wenns eine Empfehlung von MS ist, dann bitte einen KB-Artikel, eine Stelle in einem Guide etc.
zweitens: ich würde auf jeden Fall ein zweistufiges Gruppenkonzept empfehlen. Ob mans mit GlobalGroups und Localgroups durchzieht, oder nur mit Globalgroups ist fast egal. (GG/LG verhindert Loops in Gruppenverschachtelungen. Die Einschränkung keine LG in GG stecken zu können, sehe ich eher als Vorteil als Nachteil)
drittens: Wenn du dich im SingleForest rein auf Universalgroups festlegst, hast du zukünfitg schlechte Karten bzw. ziemlich Aufwand, wenn denn dochmal eine oder mehrere Childdomains nötig werden sollten. Weisst du bzw. der Berater, was in 3 Jahren auf deine Struktur zukommt?

cu
blub

[oh2002]

Vielen Dank für die vielen Hinweise, ich glaube ich habe nun genug Argumente um mein "klassisches" 2-stufiges Konzept durchzuziehen, auch entgegen der Meinung des externen Beraters.