Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
Hallo,
wir müssen in Zukunft unsere ADS Struktur neu aufbauen. Bei uns ist die Struktur chaotisch gewachsen und irgendwie wurde immer alles reingefrimmelt. Wir haben insgesamt drei Standorte. Standort A hat Buchhaltung, Vertrieb, Entwicklung, Standort B hat Vertrieb, Einkauf und Standort C hat Buchhaltung und Fertigungsstrasse. Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???
Eine wichtige Frage sind die Kennwortrichtlinien.
AFAIK gelten die nur Domänenweit, also, wenn unterschiedliche Kennwortrichtlinien benötigt werden, bedeutet dies pro unterschiedliche Richtlinie eine Domäne (So war's unter 2000...)
wir müssen in Zukunft unsere ADS Struktur neu aufbauen.
zu Windows 2000 und 2003 Zeiten, heißt es "AD".
Mit Windows Server 2008, heißt es dann "AD DS" .
Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???
Sofern man das aus der Ferne beurteilen kann, würde ich ein Einen-Domänen-Modell wählen mit und darin drei Standorte kreieren. Natürlich nur, wenn deine genannten Standorte auch wirklich physikalische Standorte die voneinander getrennt sind ist.
In den Standorten "solltest" du nur dann einen DC aufstellen, wenn dieser vor Ort auch gesichert steht (hinter Schloss und Riegel). Mit Windows Server 2008 entschärft sich das ganze, dank RODC.
Richte Dir dann im Snap-In "Standorte und Dienste" Standorte und Subnetze ein und verschiebe die jeweiligen DC-Icons an ihren jeweiligen Standort. Ein Standort kann mehr mehrere Domänen enthalten und eine einzige Domäne, kann mehreren Standorten angehören.
Durch das erstellen von Standorten kannst Du die Replikation von Active Directory bzw. das SYSVOL Verzeichnis "besser" steuern. Standortintern (Intrasite) werden Änderungen wesentlich häufiger repliziert als zwischen Standorten (Intersite) und vorallem werden
die Daten über die Leitung komprimiert repliziert und nicht so wie standortintern - unkomprimiert. Dadurch hast Du nicht nur die Möglichkeit, die effektive Performance im Netzwerk zu optimieren, sondern auch die WAN-Struktur im Hinblick auf Gescwindigkeit und Kosten Rechnung zu tragen. Durch Standorte kannst Du z.B. jeden DC zu einem Standort verschieben und somit klar definieren, welcher DC zu welchem Standort gehört.
Damit wissen die Clients schneller, welcher ihr Anmeldeserver ist.
Ebenfalls hast Du die Möglichkeit, gezielter mit GPOs zu arbeiten bzw. standortabhängige GPOs anzuwenden.
AFAIK gelten die nur Domänenweit, also, wenn unterschiedliche Kennwortrichtlinien benötigt werden, bedeutet dies pro unterschiedliche Richtlinie eine Domäne (So war's unter 2000...)
So ist es auch noch bei Win 2003. Ab Win 2008 kann man mehrere PW-Richtlinien pro Domain erstellen.
Ab Win 2008 kann man mehrere PW-Richtlinien pro Domain erstellen.
Das hört sich etwas verwirrend an. Genau genommen ist es unter Windows Server 2008 möglich, die Kennwortrichtlinien nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen zu verknüpfen. Nicht auf Domänen-Ebene wie es z.B. die Default Domain Policy darstellt.
Wen es interessiert, kann aber genau das auch in dem von mir verlinkten Technet Artikel lesen...
You can use fine-grained password policies to specify multiple password policies within a single domain. You can use fine-grained password policies to apply different restrictions for password and account lockout policies to different sets of users in a domain
einen Aspekt solltest du dir auch vorher überlegen.
Und zwar wie die Struktur deines ADs aussehn soll. Also das du zB. alle Benutzer einer Abteilung in einer Organisationseinheit (OU) zusammenfasst und alle Rechner eines Standortes, oder das du Workstations und Laptops in getrennte OUs steckst. Das Ganze hat den Sinn, das du dann auf jede OU eine Gruppenrichtlinie setzten kannst was sie sehr viel Konfigurationsaufwand wegnimmt. So kannst du auch zB. per Gruppenrichtlinen festlegen, wie dein Windows Update eingestellt ist, also einen WSUS Server angeben und festlegen in welche Gruppe der Rechner dort eingetragen wird,........
Oder zB. alle Berechtigungsgruppen in einer OU zusammenfassen, um das ganze Übersichtlicher zu gestalten. Da gibts 1000 Möglichkeiten und das sollte vorher durgedacht werden sonst hast nacher das totale Chaos wenn das System wieder wächst.
Hallo,
in der Tat ist mein größtes Problem die Struktur des AD. Am Standort A sind es etwa 100 Mitarbeiter, an B 20 und C ca. 30 Mitarbeiter. Im laufe dieses Jahres wird noch ein Standort D mit ca. 15 Mitarbeiter integriert.
Also ich dachte auch an eine Trennung der Standorte mittels OU, Abteilung, User, Gruppen und Computer. Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben. Im moment haben wir eine sehr falsche Hierachie, alle User aller Standorte in einer OU, genauso die Computer. Das funktioniert längerfristig einfach nicht. Gruppenrichtlinien kann ich deshalb überhaupt nicht anwenden. Denkt ihr bei dieser Unternhmenesgröße ist eine tiefer geschachtelte Struktur besser?
Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben
Gerade DAS, solltest du vermeiden. So einfach und flach wie möglich/nötig sollte das Desgin aussehen. Ich würde für jeden Standort bei deiner genannten Größe, einen Standort im AD erstellen, wie bereits erläutert. Wenn du im Snap-In "Standorte- und Dienste" alles korrekt konfigurierst und die DC-Icons an ihren entsprechenden Standort verschiebst, sollte der Rest automatisch (dank des DNS) funktionieren.
.
