Jump to content

ADS Design


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

wir müssen in Zukunft unsere ADS Struktur neu aufbauen. Bei uns ist die Struktur chaotisch gewachsen und irgendwie wurde immer alles reingefrimmelt. Wir haben insgesamt drei Standorte. Standort A hat Buchhaltung, Vertrieb, Entwicklung, Standort B hat Vertrieb, Einkauf und Standort C hat Buchhaltung und Fertigungsstrasse. Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???

 

Grüßle

 

Mike

Link zu diesem Kommentar

Servus,

 

wir müssen in Zukunft unsere ADS Struktur neu aufbauen.

 

zu Windows 2000 und 2003 Zeiten, heißt es "AD".

Mit Windows Server 2008, heißt es dann "AD DS" ;).

 

Wie sieht nun eine sinnvolle hierachrische Umgebung auf. Kann mir hier jemand Tipps dazu geben???

 

Sofern man das aus der Ferne beurteilen kann, würde ich ein Einen-Domänen-Modell wählen mit und darin drei Standorte kreieren. Natürlich nur, wenn deine genannten Standorte auch wirklich physikalische Standorte die voneinander getrennt sind ist.

 

In den Standorten "solltest" du nur dann einen DC aufstellen, wenn dieser vor Ort auch gesichert steht (hinter Schloss und Riegel). Mit Windows Server 2008 entschärft sich das ganze, dank RODC.

 

Richte Dir dann im Snap-In "Standorte und Dienste" Standorte und Subnetze ein und verschiebe die jeweiligen DC-Icons an ihren jeweiligen Standort. Ein Standort kann mehr mehrere Domänen enthalten und eine einzige Domäne, kann mehreren Standorten angehören.

 

Durch das erstellen von Standorten kannst Du die Replikation von Active Directory bzw. das SYSVOL Verzeichnis "besser" steuern. Standortintern (Intrasite) werden Änderungen wesentlich häufiger repliziert als zwischen Standorten (Intersite) und vorallem werden

die Daten über die Leitung komprimiert repliziert und nicht so wie standortintern - unkomprimiert. Dadurch hast Du nicht nur die Möglichkeit, die effektive Performance im Netzwerk zu optimieren, sondern auch die WAN-Struktur im Hinblick auf Gescwindigkeit und Kosten Rechnung zu tragen. Durch Standorte kannst Du z.B. jeden DC zu einem Standort verschieben und somit klar definieren, welcher DC zu welchem Standort gehört.

Damit wissen die Clients schneller, welcher ihr Anmeldeserver ist.

 

Ebenfalls hast Du die Möglichkeit, gezielter mit GPOs zu arbeiten bzw. standortabhängige GPOs anzuwenden.

 

Hier noch etwas zum lesen:

Yusuf`s Directory - Blog - Domänencontroller am Standort

Microsoft Corporation

Link zu diesem Kommentar
So ist es auch noch bei Win 2003.

 

Korrekt.

 

Ab Win 2008 kann man mehrere PW-Richtlinien pro Domain erstellen.

 

Das hört sich etwas verwirrend an. Genau genommen ist es unter Windows Server 2008 möglich, die Kennwortrichtlinien nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen zu verknüpfen. Nicht auf Domänen-Ebene wie es z.B. die Default Domain Policy darstellt.

 

Mehrere Kennwortrichtlinien in einer Domäne - faq-o-matic.net

Link zu diesem Kommentar

Ok, du hast es etwas exakter formuliert.

 

Wen es interessiert, kann aber genau das auch in dem von mir verlinkten Technet Artikel lesen...

 

You can use fine-grained password policies to specify multiple password policies within a single domain. You can use fine-grained password policies to apply different restrictions for password and account lockout policies to different sets of users in a domain

 

Christoph

Link zu diesem Kommentar

einen Aspekt solltest du dir auch vorher überlegen.

Und zwar wie die Struktur deines ADs aussehn soll. Also das du zB. alle Benutzer einer Abteilung in einer Organisationseinheit (OU) zusammenfasst und alle Rechner eines Standortes, oder das du Workstations und Laptops in getrennte OUs steckst. Das Ganze hat den Sinn, das du dann auf jede OU eine Gruppenrichtlinie setzten kannst was sie sehr viel Konfigurationsaufwand wegnimmt. So kannst du auch zB. per Gruppenrichtlinen festlegen, wie dein Windows Update eingestellt ist, also einen WSUS Server angeben und festlegen in welche Gruppe der Rechner dort eingetragen wird,........

 

Oder zB. alle Berechtigungsgruppen in einer OU zusammenfassen, um das ganze Übersichtlicher zu gestalten. Da gibts 1000 Möglichkeiten und das sollte vorher durgedacht werden sonst hast nacher das totale Chaos wenn das System wieder wächst. :suspect:

 

lg. Joe

Link zu diesem Kommentar

Hallo,

in der Tat ist mein größtes Problem die Struktur des AD. Am Standort A sind es etwa 100 Mitarbeiter, an B 20 und C ca. 30 Mitarbeiter. Im laufe dieses Jahres wird noch ein Standort D mit ca. 15 Mitarbeiter integriert.

Also ich dachte auch an eine Trennung der Standorte mittels OU, Abteilung, User, Gruppen und Computer. Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben. Im moment haben wir eine sehr falsche Hierachie, alle User aller Standorte in einer OU, genauso die Computer. Das funktioniert längerfristig einfach nicht. Gruppenrichtlinien kann ich deshalb überhaupt nicht anwenden. Denkt ihr bei dieser Unternhmenesgröße ist eine tiefer geschachtelte Struktur besser?

 

Grüße

 

Mike

Link zu diesem Kommentar
Es sollte auf alle Fälle eine tiefgeschachtelte Struktur geben

 

Gerade DAS, solltest du vermeiden. So einfach und flach wie möglich/nötig sollte das Desgin aussehen. Ich würde für jeden Standort bei deiner genannten Größe, einen Standort im AD erstellen, wie bereits erläutert. Wenn du im Snap-In "Standorte- und Dienste" alles korrekt konfigurierst und die DC-Icons an ihren entsprechenden Standort verschiebst, sollte der Rest automatisch (dank des DNS) funktionieren.

Link zu diesem Kommentar

ja ein klassicher Fall für KISS (keep it short & simple)

 

du musst dir als erstes überlegen, wie sich zB. deine Rechner in den einzelnen Standorten unterscheiden von den Einstellungen her unterscheiden. tun sich es nicht, spricht absolut nichts dagegen sie in eine OU zu packen. Hast du dagegen Workstations und Laptops, die jeweils andere Einstallungen bekommen, ich denk da zB. an die Verwendung von Offlinedateien,... dann teilst sie halt in 2 OUs auf.

 

Wenn du noch so Dienste wie RIS verwenden willst, wo zB. jede Abteilung ihre eigene Softwaresammlung hat, dann ist es sinnvoll die Rechner Abteilungsweise aufzuteilen.

 

Grundregel: Immer so einfach wie möglich und so komplex wie erforderlich.

 

Aber was genau für dich das beste ist kannst nur du bestimmen, denn keiner hier kennt genau deine Anforderungen und die Arbeitsprozesse in deiner Firma.

 

Aja bevor ichs vergesse, es bewährt sich immer eine gute Doku über soetwas zu haben, am besten zuerst ein konzept mit allen benötigten Konfigurationen ausarbeiten, und wenns dann umgesetzt ist ist das auch gleich deine Doku.

 

hth. Joe

Link zu diesem Kommentar

Hallo Daim,

wenn ich Dich richtig verstanden habe, untergliederst du

Standort A -> Benutzer
Standort A -> Computer
Standort A -> Gruppen

Standort B -> Benutzer
Standort B -> Computer
Standort B -> Gruppen

Standort C -> Benutzer
Standort C -> Computer
Standort C -> Gruppen

 

Zum Verwalten ist das natürlich easy aber wie macht man das mit den Richtlinien für die verschiedenen Abteilungen?

Ich hätte es nun so gemacht:

Standort A -> Buchhaltung -> Benutzer
Standort A -> Buchhaltung -> Computer
Standort A -> Buchhaltung -> Gruppen

Standort A -> Vertrieb -> Benutzer
Standort A -> Vertrieb -> Computer
Standort A -> Vertrieb -> Gruppen

 

Bedeutet natürlich viel Verwaltungsaufwand. In welche Probleme, die ich heute vielleicht noch nicht sehe, könnte ich mit diesem Design bewegen?

 

Grüßle

 

Mike

Link zu diesem Kommentar

Ich gebe dir ledglich Anhaltspunkte bzw. ich zeige dir den Weg.Wie du diesen Weg begehst, bleibt dir überlassen ;). Über das Design des AD hängt eben die Firmenstruktur sowie Anforderungen ab.

 

Standort A -> Gruppen

 

Das ist völlig unnötig, zumal man z.B. GPOs lediglich auf Benutzer sowie Computer anwenden kann, aber nicht auf Gruppen. Deshalb ist diese Unterteilung der Gruppen überflüssig bzw. nicht notwendig (ich betone, dass ist meine Meinung. Wenn du es für notwendig hälst, kannst du es machen, wobei sich aber der Sinn, mir nicht entschließen würde).

 

Fakt ist, du solltest eben im AD die Standorte erstellen. Alles weitere hängt von eurer Firma ab ;).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...