mk100

vor 15 Stunden schrieb daabm:

Ok, wir kommen der Sache näher Über PAW reden wir, sobald Du 2 DCs hast. Und weißt, was PAW alles mit sich bringt - separater Computer als PAW, darauf eine VM mit dem Arbeitsrechner (grad noch akzeptiert, eigentlich aber wirklich separater Computer), dann separater Netzzugang, abgeschotteter Raum, 2FA, und genaugenommen Bastion Forest. PAW ist einer der Bestandteile von ESAE, die man am ehesten wegrationalisieren kann - meine Meinung.

 

Wenn Ihr bisher nicht mal OUs genutzt habt, hattet Ihr im AD keinerlei Delegation. Damit auch keine Tier-Trennung, keine gezielten GPOs für's Hardening und und und

Richtig das AD war eine Katastrophe. 

vor 12 Stunden schrieb lefg:

 

War /ist die Standard Struktur ausreichend, wurden keine weiteren OU benötigt? Macht etwas das Einführen von OU jetzt zwingend?

Ja, aus meiner Sicht macht das Tiering System die Einführung von OU´s nötig !? 

Insgesamt möchte ich mich bei allen bedanken die ihr Wissen in dem Beitrag geteilt haben, dadurch konnte ich mein Problem lösen.

Konkret: Entgegen meiner Erwartung konnte ich bestehende User und Computer verschieben, so das ich im aktuellen AD die neue Struktur aufgebaut habe, und wir erstmal auf Server 2016 bleiben und ggf. später den neuen Server 19 einbinden, der dann die aktualisierte Struktur übernehmen kann. 

Nochmal vielen Dank für eure Beiträge. 

Kann geschlossen werden der Thread. 

vor 3 Minuten schrieb Dukel:

Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin?

Nein es gibt keine Admins. 

Wie schon gesagt kleine Firma, wenig Aufwand im administrativen Bereich daher überzogen. Ich "verwalte" das AD auch nicht, sondern ich unterstütze nur wenn etwas umgesetzt werden soll. 

vor 37 Minuten schrieb NorbertFe:

Und das gehört nicht zu Sicherheit/Verfügbarkeit?

Ja, ist schon richtig :) 

vor 3 Minuten schrieb Sunny61:

Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben.

 

Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr.

Das ist doch auch ein Teil der Sicherheit.

Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. 

Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. 

vor 9 Stunden schrieb NorbertFe:

Vielleicht PAW? :)

Ja, sorry, da habe ich mich verschrieben. Ich meinte eine PAW :) 

vor 9 Stunden schrieb daabm:

Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen?

 

Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das?

Sorry, ich meinte PAW. 

Kannst du mir erläutern welchen Zusammenhang du siehst zwischen 2 DC´s hinsichtlich Sicherheit siehst? 

Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

vor 11 Stunden schrieb Dukel:

Ich würde entweder

- einen zweiten 2016 DC aufnehmen oder

- einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen

 

Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs?

 

Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen.



Danke das hat meine Frage ziemlich konkret beantwortet. 

vor 11 Stunden schrieb MurdocX:

Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen.

 

Folgende Fragen habe ich noch:

• Warum den 2016er durch den 2019er ersetzen?
• Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen?

1. In erster Linie weil wir das erste mal ein Sicherheitskonzept implementieren wollen, und da wir Action Pack Kunde sind und administrative Tätigkeiten eher alle 1-2 Jahren machen, wollen wir vorsorglich auf den Server 2019 gehen. 

2. Meines Wissens nach kann man die Struktur eines AD  nicht "einfach" umbauen !? Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s `

Hallo liebe Kollegen,

ich möchte einen neuen DC erstellen mit Server 2019, der aktuelle DC ist Server 2016.

Der aktuelle DC 2016 ist der einzige DC in der Domäne.

Jetzt möchte ich in dem Zuge auch die Struktur des AD sinnvoller gestalten, nach dem PWA Prinzip von Microsoft und eine Art "Tiering" System abbilden, damit man nicht in einem Zug durch unsere Server rutschen kann.

Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice?

Ich hoffe meine Problemstellung ist deutlich geworden. Für jede Empfehlung oder Tipp bin ich dankbar!

MFG

* Ich bin Software Entwickler in einer kleinen Firma, kein Netzwerktechniker oder Admin, habe aber gutes IT Allgemeinwissen *