Vom Split-Brain-Syndrom spricht man, wenn man für seine Domäne den gleichen Domänennamen benutzt, wie für eine Internetpräsenz. Beispiel: Du nennst deine lokale Domäne contoso.com und die Internetpräsenz heißt auch so und du nutzt 1 DNS für das ganze. Das ist natürlich tödlich, da so jeder die Namen deiner Clients übers Internet abrufen kann. Man sollte als Best Practice contoso.local oder eine andere Domänenendung die es nicht gibt verwenden und außerdem Internet und Intranet Namensauflösung voneinander Trennen.
Schattengruppen sind äußerst sinnvoll und leicht zu verwalten. Wie schon gesagt wurde, sind Schattengruppen der Begriff für Gruppen die alle Computer- oder Benutzer-Objekte einer OU enthalten.
Warum mache ich das?
Weil alle Sicherheitseinstellungen über Gruppen und nicht über einzelne Computer- oder Benutzer-Objekte verwaltet werden sollten (Best Practice). Auch dann, wenn in dieser Gruppe nur 1 Benutzer-Objekt ist. Grund: Wenn der Mitarbeiter in dieser Gruppe ersetzt wird, musst du nur 1 Gruppenmitgliedschaft editieren und nicht für den neuen Mitarbeiter alle Sicherheitseinstellungen (z.B. Dateiberechtigungen) neu vergeben, da die Gruppenberechtigungen unverändert bleiben.
Wie nutze ich sie effizient?
Skript mit folgendem Inhalt verwenden:
dsget group „CN=Gruppenname,OU=Gruppen,DC=contoso,DC=com“ –members | dsmod group „CN=Personal,OU=Gruppen,DC=contoso,DC=com“ –rmmbr
dsquery user „OU=Personal,DC=contoso,DC=com“ | dsmod group „CN=Gruppenname,OU=Gruppen,DC=contoso,DC=com“ –addmbr
Hier wird als Beispiel zuerst die Gruppe "Gruppenname" in der OU "Gruppen" geleert. Danach werden alle Benutzer-Objekte aus der OU "Personal" zur Gruppe "Gruppenname" in der OU "Gruppen" hinzugefügt. Lässt sich so per Skript ausführen.
GPO werden in dieser Reihenfolge angewendet:
1. Lokale Einstellungen
2. Standordverknüpft
3. Domänenverknüpft
4. OU-verknüpft
5. OU-verknüpft und Erzwungen
6. Domänenverknüpft und Erzwungen
7. Standortverknüpft und Erzwungen
Wobei Einstellungen aus Punkt 7, Einstellungen aus den vorigen Punkten überschreiben. Sollte für eine OU Vererbung deaktiviert sein, spielt 2, 3 und 4 in darüberliegenden OUs keine Rolle, erzwungene GPOs werden aber trotzdem vererbt, wenn sie in einer darüberliegenden Ebene sind.
Ich denke wenn du das 70-640 Buch komplett durchmachst und gut damit klar kommst, wird die Prüfung zu bestehen sein :-) Viel Erfolg!