Jump to content
Sign in to follow this  
pastors

ADS Design

Recommended Posts

Hallo,

wir müssen in Zukunft unsere ADS Struktur neu aufbauen. Bei uns ist die Struktur chaotisch gewachsen und irgendwie wurde immer alles reingefrimmelt. Wir haben insgesamt drei Standorte. Standort A hat Buchhaltung, Vertrieb, Entwicklung, Standort B hat Vertrieb, Einkauf und Standort C hat Buchhaltung und Fertigungsstrasse. Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???

 

Grüßle

 

Mike

Share this post


Link to post

Eine wichtige Frage sind die Kennwortrichtlinien.

AFAIK gelten die nur Domänenweit, also, wenn unterschiedliche Kennwortrichtlinien benötigt werden, bedeutet dies pro unterschiedliche Richtlinie eine Domäne (So war's unter 2000...)

Share this post


Link to post

Servus,

 

wir müssen in Zukunft unsere ADS Struktur neu aufbauen.

 

zu Windows 2000 und 2003 Zeiten, heißt es "AD".

Mit Windows Server 2008, heißt es dann "AD DS" ;).

 

Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???

 

Sofern man das aus der Ferne beurteilen kann, würde ich ein Einen-Domänen-Modell wählen mit und darin drei Standorte kreieren. Natürlich nur, wenn deine genannten Standorte auch wirklich physikalische Standorte die voneinander getrennt sind ist.

 

In den Standorten "solltest" du nur dann einen DC aufstellen, wenn dieser vor Ort auch gesichert steht (hinter Schloss und Riegel). Mit Windows Server 2008 entschärft sich das ganze, dank RODC.

 

Richte Dir dann im Snap-In "Standorte und Dienste" Standorte und Subnetze ein und verschiebe die jeweiligen DC-Icons an ihren jeweiligen Standort. Ein Standort kann mehr mehrere Domänen enthalten und eine einzige Domäne, kann mehreren Standorten angehören.

 

Durch das erstellen von Standorten kannst Du die Replikation von Active Directory bzw. das SYSVOL Verzeichnis "besser" steuern. Standortintern (Intrasite) werden Änderungen wesentlich häufiger repliziert als zwischen Standorten (Intersite) und vorallem werden

die Daten über die Leitung komprimiert repliziert und nicht so wie standortintern - unkomprimiert. Dadurch hast Du nicht nur die Möglichkeit, die effektive Performance im Netzwerk zu optimieren, sondern auch die WAN-Struktur im Hinblick auf Gescwindigkeit und Kosten Rechnung zu tragen. Durch Standorte kannst Du z.B. jeden DC zu einem Standort verschieben und somit klar definieren, welcher DC zu welchem Standort gehört.

Damit wissen die Clients schneller, welcher ihr Anmeldeserver ist.

 

Ebenfalls hast Du die Möglichkeit, gezielter mit GPOs zu arbeiten bzw. standortabhängige GPOs anzuwenden.

 

Hier noch etwas zum lesen:

Yusuf`s Directory - Blog - Domänencontroller am Standort

Microsoft Corporation

Share this post


Link to post
AFAIK gelten die nur Domänenweit, also, wenn unterschiedliche Kennwortrichtlinien benötigt werden, bedeutet dies pro unterschiedliche Richtlinie eine Domäne (So war's unter 2000...)

 

So ist es auch noch bei Win 2003. Ab Win 2008 kann man mehrere PW-Richtlinien pro Domain erstellen.

 

Microsoft Corporation

 

Christoph

Share this post


Link to post
So ist es auch noch bei Win 2003.

 

Korrekt.

 

Ab Win 2008 kann man mehrere PW-Richtlinien pro Domain erstellen.

 

Das hört sich etwas verwirrend an. Genau genommen ist es unter Windows Server 2008 möglich, die Kennwortrichtlinien nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen zu verknüpfen. Nicht auf Domänen-Ebene wie es z.B. die Default Domain Policy darstellt.

 

Mehrere Kennwortrichtlinien in einer Domäne - faq-o-matic.net

Share this post


Link to post

Ok, du hast es etwas exakter formuliert.

 

Wen es interessiert, kann aber genau das auch in dem von mir verlinkten Technet Artikel lesen...

 

You can use fine-grained password policies to specify multiple password policies within a single domain. You can use fine-grained password policies to apply different restrictions for password and account lockout policies to different sets of users in a domain

 

Christoph

Share this post


Link to post

einen Aspekt solltest du dir auch vorher überlegen.

Und zwar wie die Struktur deines ADs aussehn soll. Also das du zB. alle Benutzer einer Abteilung in einer Organisationseinheit (OU) zusammenfasst und alle Rechner eines Standortes, oder das du Workstations und Laptops in getrennte OUs steckst. Das Ganze hat den Sinn, das du dann auf jede OU eine Gruppenrichtlinie setzten kannst was sie sehr viel Konfigurationsaufwand wegnimmt. So kannst du auch zB. per Gruppenrichtlinen festlegen, wie dein Windows Update eingestellt ist, also einen WSUS Server angeben und festlegen in welche Gruppe der Rechner dort eingetragen wird,........

 

Oder zB. alle Berechtigungsgruppen in einer OU zusammenfassen, um das ganze Übersichtlicher zu gestalten. Da gibts 1000 Möglichkeiten und das sollte vorher durgedacht werden sonst hast nacher das totale Chaos wenn das System wieder wächst. :suspect:

 

lg. Joe

Share this post


Link to post

Hallo,

in der Tat ist mein größtes Problem die Struktur des AD. Am Standort A sind es etwa 100 Mitarbeiter, an B 20 und C ca. 30 Mitarbeiter. Im laufe dieses Jahres wird noch ein Standort D mit ca. 15 Mitarbeiter integriert.

Also ich dachte auch an eine Trennung der Standorte mittels OU, Abteilung, User, Gruppen und Computer. Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben. Im moment haben wir eine sehr falsche Hierachie, alle User aller Standorte in einer OU, genauso die Computer. Das funktioniert längerfristig einfach nicht. Gruppenrichtlinien kann ich deshalb überhaupt nicht anwenden. Denkt ihr bei dieser Unternhmenesgröße ist eine tiefer geschachtelte Struktur besser?

 

Grüße

 

Mike

Share this post


Link to post
Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben

 

Gerade DAS, solltest du vermeiden. So einfach und flach wie möglich/nötig sollte das Desgin aussehen. Ich würde für jeden Standort bei deiner genannten Größe, einen Standort im AD erstellen, wie bereits erläutert. Wenn du im Snap-In "Standorte- und Dienste" alles korrekt konfigurierst und die DC-Icons an ihren entsprechenden Standort verschiebst, sollte der Rest automatisch (dank des DNS) funktionieren.

Share this post


Link to post

Bei uns schaut das so aus ... Single Domain ...

 

Firma als Haupt-OU darunter die jeweiligen Landes-OUs darunter dann die Standort-OU und letztlich die Abteilungs-OUs (ggf. noch mal aufgeteilt)

 

hat sich bewährt!

 

Darüberhinaus natürlich die Standorte und Replikation entsprechend eingerichtet

Share this post


Link to post

ja ein klassicher Fall für KISS (keep it short & simple)

 

du musst dir als erstes überlegen, wie sich zB. deine Rechner in den einzelnen Standorten unterscheiden von den Einstellungen her unterscheiden. tun sich es nicht, spricht absolut nichts dagegen sie in eine OU zu packen. Hast du dagegen Workstations und Laptops, die jeweils andere Einstallungen bekommen, ich denk da zB. an die Verwendung von Offlinedateien,... dann teilst sie halt in 2 OUs auf.

 

Wenn du noch so Dienste wie RIS verwenden willst, wo zB. jede Abteilung ihre eigene Softwaresammlung hat, dann ist es sinnvoll die Rechner Abteilungsweise aufzuteilen.

 

Grundregel: Immer so einfach wie möglich und so komplex wie erforderlich.

 

Aber was genau für dich das beste ist kannst nur du bestimmen, denn keiner hier kennt genau deine Anforderungen und die Arbeitsprozesse in deiner Firma.

 

Aja bevor ichs vergesse, es bewährt sich immer eine gute Doku über soetwas zu haben, am besten zuerst ein konzept mit allen benötigten Konfigurationen ausarbeiten, und wenns dann umgesetzt ist ist das auch gleich deine Doku.

 

hth. Joe

Share this post


Link to post

Hallo Daim,

wenn ich Dich richtig verstanden habe, untergliederst du

Standort A -> Benutzer
Standort A -> Computer
Standort A -> Gruppen

Standort B -> Benutzer
Standort B -> Computer
Standort B -> Gruppen

Standort C -> Benutzer
Standort C -> Computer
Standort C -> Gruppen

 

Zum Verwalten ist das natürlich easy aber wie macht man das mit den Richtlinien für die verschiedenen Abteilungen?

Ich hätte es nun so gemacht:

Standort A -> Buchhaltung -> Benutzer
Standort A -> Buchhaltung -> Computer
Standort A -> Buchhaltung -> Gruppen

Standort A -> Vertrieb -> Benutzer
Standort A -> Vertrieb -> Computer
Standort A -> Vertrieb -> Gruppen

 

Bedeutet natürlich viel Verwaltungsaufwand. In welche Probleme, die ich heute vielleicht noch nicht sehe, könnte ich mit diesem Design bewegen?

 

Grüßle

 

Mike

Share this post


Link to post

Ich gebe dir ledglich Anhaltspunkte bzw. ich zeige dir den Weg.Wie du diesen Weg begehst, bleibt dir überlassen ;). Über das Design des AD hängt eben die Firmenstruktur sowie Anforderungen ab.

 

Standort A -> Gruppen

 

Das ist völlig unnötig, zumal man z.B. GPOs lediglich auf Benutzer sowie Computer anwenden kann, aber nicht auf Gruppen. Deshalb ist diese Unterteilung der Gruppen überflüssig bzw. nicht notwendig (ich betone, dass ist meine Meinung. Wenn du es für notwendig hälst, kannst du es machen, wobei sich aber der Sinn, mir nicht entschließen würde).

 

Fakt ist, du solltest eben im AD die Standorte erstellen. Alles weitere hängt von eurer Firma ab ;).

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...