einstein 10 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Hi Leute, sorry wenn ich´s zum xten mal anspreche. Mir ist das Prinzip schon klar, aber irgendwie verstehe ich trotzdem noch nicht wozu ich DLG verwenden sollte. Gibt es jemanden der mir das plausibel erklären kann? Wäre super, mein Stand ist, ich brauche es nicht wirklich, es wird von MS empfohlen (sauberer) und ich könnte GG´s aus anderen Domänen darin verschachteln. Aber das kann doch nicht alles sein für diesen Aufwand? THX und frohes Fest. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Sieh es beispielsweise mal von der Auswertungs-Seite: Wie bekommst Du heraus, auf welche Ordner eine Gruppe Zugriff hat? Ist m.E. nach nicht so einfach, da es "rekursiv" nicht herauszubekommen ist. Gibst Du die Rechte jedoch auf DL-Gruppen-Basis auf den entsprechenden Ordner (bzw. das entsprechende Objekt), brauchst Du in der Globalen Gruppe nur noch nachzuschauen, in welchen Gruppen diese Mitglied ist. Das setzt natürlich voraus, daß Du pro DL-Gruppe nur einen Ordner / Objekt / Ressource mit Rechten versiehst und die Bezeichnung der Gruppen gut wählst. Gruß olc Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 22. Dezember 2006 Autor Melden Teilen Geschrieben 22. Dezember 2006 Danke für die Antwort, aber das ginge genau so mit GG´s oder? Sprich, auf eine Ressource eine GG berechtigen, und in diese dann z.B. weitere Abt. GG´s verschachteln. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Ja, das ginge. Aber dann würden bestimmte Attribute (z.B. der Name) der Globalen Gruppe im Globalen Katalog gespeichert und damit repliziert werden. Und genau das kann bei vielen Objekten in einer Domäne zu einem echten Problem werden - besonders, wenn die Replikation übers WAN geht... Außerdem gibt es bestimmte Beschränkungen in den verschiedenen Betriebsmodi (Windows 2000 gemischt z.B.), die es Dir nicht in jedem Fall erlauben, Globale Gruppen in andere Globalen Gruppen zu verschachteln. Gruß olc Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Ja, das ginge. Aber dann würden bestimmte Attribute (z.B. der Name) der Globalen Gruppe im Globalen Katalog gespeichert und damit repliziert werden. Und genau das kann bei vielen Objekten in einer Domäne zu einem echten Problem werden - besonders, wenn die Replikation übers WAN geht... Außerdem gibt es bestimmte Beschränkungen in den verschiedenen Betriebsmodi (Windows 2000 gemischt z.B.), die es Dir nicht in jedem Fall erlauben, Globale Gruppen in andere Globalen Gruppen zu verschachteln. Gruß olc Hi, das mit den Betriebsmodi ist richtig. Allerdings zieht das Argument mit der Replikation nicht. Denn dann dürfte ich ja nie GG einsetzen. Es ist zwar richtig, dass der Gruppenname und ein paar andere Attribute von GGs in den GC und damit über die Domänengrenze repliziert wird. Allerdings wird z.B. die member-Liste nicht repliziert. Somit ist so ein Eintrag ziemlich klein. Wenn wir mal von ca. 1 kb ausgehen, wären es selbst bei 8000 Gruppen gerade mal 8 mb. Das wäre jetzt so die umfangreichste Domäne in unserer Struktur. Zum Vergleich: die ntds.dit hat insgesamt 700 MB. Außerdem werden ja nur Änderungen repliziert. Da die häufigste Änderung die Mitgliedschaft betrifft, tun UGs eher weh. Außerdem dürfte man dann ja gar keine GGs einsetzen. MS empfiehlt aber lediglich für den Resourcenzugriff DLGs zu verwenden. Das muss nicht unbedingt die Mehrzahl der Gruppen sein. Der Grund ist tatsächlich, dass ichmir dadurch die Möglichkeit offenhalte, Gruppen aus anderen Domains zu berechtigen. Ich kann mal ein Beispiel machen. Wir haben in rund 20 Domänen E2k3 am Laufen. Teilweise ein Server pro Domäne, teilweise 10. Auf diese Server sollen jeweils die Admins der eigenen Domäne und zusätzlich noch ein zentrales Adminteam berechtigt werden. Hierzu gibt es in jeder Domäne die LG Exchange_Local_Admins. In diese kommt dann eine GG aus der eigenen Domäne,sowie eine aus der zentralen. (Gut, wir haben eigentlich keine GGs, sondern UGs verwendet, weil die Admins sowohl zentral, als auch dezentral nicht in jedem Fall aus der eigenen Domäne sind. Aber am Prinzip ändert das nichts.) Gruß woiza Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Stimmt alles, was Du geschrieben hast... Allerdings zieht das Argument mit der Replikation nicht. Denn dann dürfte ich ja nie GG einsetzen. ...was ja nur ein Punkt war, wenn auch nicht der Hauptpunkt. Es sollte lediglich verdeutlichen, daß es mehr als einen Aspekt bei der Betrachtung gibt. ;) Gruß olc Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 26. Dezember 2006 Autor Melden Teilen Geschrieben 26. Dezember 2006 Und selbst wenn ich GGs aus anderen Domains in meine LGs verschachteln kann, deswegen muss ich´s doch nicht immer gleich nach dem agdlp Schema machen. Falls mal so eine Domain übergreifende Berchtigung erforderlich ist, kann ich immer noch eine LG zusätzlich einrichten. Also wenn das die einzigen Gründe sind, dann ist mir das doch etwas unverständlich. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 26. Dezember 2006 Melden Teilen Geschrieben 26. Dezember 2006 Und selbst wenn ich GGs aus anderen Domains in meine LGs verschachteln kann, deswegen muss ich´s doch nicht immer gleich nach dem agdlp Schema machen.Falls mal so eine Domain übergreifende Berchtigung erforderlich ist, kann ich immer noch eine LG zusätzlich einrichten. Also wenn das die einzigen Gründe sind, dann ist mir das doch etwas unverständlich. Was ist da unverständlich? Erstens ist das ja keine Vorschrift, sondern nur Best Practice. Du solltest es eben für deine Exams wissen. Ausserdem macht es wohl keinen Unterschied, wie du die Gruppen machst, wenn es um 20 User geht. Stell dir vor, du hättest nen Stapel Domänen mit sagen wir mal 6000 Gruppen. Und jedes Mal, wenn du ne andere Domäne auf ne Ressource berechtigen willst, erstellst du zusätzlich zu deiner GG noch ne LG? Oder du packst zu der GG aus deiner Domäne noch zusätzlich ne GG aus den anderen zu berechtigenden Domänen dazu? Und warum? Aus Prinzip? Du musst dann jedes Mal die Resource(n) wieder anfassen. Zusätzlich erhöhst du die Komplexität unnötig. Aber falls du noch nen Grund für dieses Prinzip brauchst, dann vielleicht diesen: Es dient der Übersichtlichkeit. Du siehst sofort am Gruppentyp, wofür die Gruppe mal gedacht war und wofür an sie vielleicht nicht verwenden sollte. Aber prinzipiell bleibt es dir überlassen, wie du es machst. Gruß woiza Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 27. Dezember 2006 Autor Melden Teilen Geschrieben 27. Dezember 2006 Danke für die Infos! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.