Jump to content
Sign in to follow this  
ufu

W2K3: AD Redesign

Recommended Posts

Hallo zusammen,

 

Ich habe hier ein "Chef vs. Admin" Problem:

 

Aufgrund Politischer Entscheidungen muessen wir aus einer Fa. zwei machen. Ergo auch aus einer Domaene zwei.

 

Die Last ist ungleich Verteilt, so das WIR hier in den sauren Apfel beissen muessen und alles neu hochziehen muessen.

 

Nun zum Problem des Designs:

 

Wir haben hier Produktive Clients, auf denen sachen verarbeitet werden und wir haben eine wilde Horde Entwickler.

Wir moechten das ganze nun so trennen, das die Prod von den Entw. getrennt ist.

Desweiteren koennte es passieren, das die IT irgendwann ausgegliedert wird.

 

Cheffe will nun einen Forest aufbauen mit 3 Tree's.

 

ICH sage, das ist mit Kanonen auf Spatzen geschossen. Ich sehe den Verwaltungsaufwand als extremen Nachteil, zumal unsere Manschaft hier fuer komplette IT Services gerade mal aus 9 Leuten besteht.

 

netzwerktechnisch koennen wir das ganze aus bestimmten gruenden nur schlecht bis gar nicht trennen.

 

Meine Frage nun: Kann man sowas nicht vielleicht anders in EINER Domaene realisieren ? (Site zuordnungen oder aehnliches ?!)

 

Hat da vielleicht jemand von Euch erfahrung (DIE fehlt in diesem falle naemlich ....)

 

Ich danke euch schonmal fuer Anregungen und Tips

 

MfG

ufu

Share this post


Link to post
Share on other sites
Aufgrund Politischer Entscheidungen muessen wir aus einer Fa. zwei machen. Ergo auch aus einer Domaene zwei.

 

Dafür gibt es nicht unbedingt spezifische Gründe - vorallem nicht wenn beide Firmen die selben Mitarbeiter haben.

 

Wir moechten das ganze nun so trennen, das die Prod von den Entw. getrennt ist.

 

Das kann durchaus Sinn machen - normalerweise haben Entwickler zwei Arbeitsplätze, einen in der produktiven Umgebung und einen in der Entwicklungsumgebung.

 

Cheffe will nun einen Forest aufbauen mit 3 Tree's.

 

Die Sicherheitseinheit ist der Forest, nicht die Domain - für zwei völlig unabhängige Umgebungen brauchst du also zwei Forests, je nachdem mit passenden Trusts dazwischen.

 

Microsoft Corporation

 

Ich würde nie irgendwelche Entwickler an mein produktives Netz lassen.

 

Ich sehe den Verwaltungsaufwand als extremen Nachteil, zumal unsere Manschaft hier fuer komplette IT Services gerade mal aus 9 Leuten besteht.

 

Das ist doch eine ganze Menge - viele Betriebe haben garniemanden, bzw. nur einen Dienstleister. Das kommt auf die Grösse an.

 

Meine Frage nun: Kann man sowas nicht vielleicht anders in EINER Domaene realisieren ? (Site zuordnungen oder aehnliches ?!)

 

Entwicklung und Produktion? Nein, das geht nicht. Schemaerweiterungen gelten pro Forest, etc.

 

Wenn wir aber von zwei Firmen reden, wie du Anfangs erwähnt hast, und die Firmen sehr viel gemeinsames Personal haben, dann kann man aber seperate Sites definieren, eigene DCs hinstellen, und passende Berechtigungsdelegationen verwenden - wenn die IT Staff für beide Firmen diesselbe ist, dann brauchts nichtmal die.

 

netzwerktechnisch koennen wir das ganze aus bestimmten gruenden nur schlecht bis gar nicht trennen.

 

Das ist _DIE_ Gelegenheit um Unmengen an Geld für neues Netzwerkequipment zu bekommen.

Share this post


Link to post
Share on other sites

Buenos dias,

 

Aufgrund Politischer Entscheidungen muessen wir aus einer Fa. zwei machen. Ergo auch aus einer Domaene zwei.

 

immer diese Politiker, machen nichts nur als Ärger ;).

 

Wir moechten das ganze nun so trennen, das die Prod von den Entw. getrennt ist.

 

Eine eigene Gesamtstruktur für die Entwickler ist wohl nicht gewünscht?

Ich würde das auf alle Fälle favorisieren! Komplett getrennt von der produktiven Umgebung.

 

Ich denke an das Szenario, dass ein wild gewordener Entwickler, der zufällig auch noch Organisations-Admin Rechte hat und auf den "Knopf" drückt. Garnicht auszudenken was alles passieren könnte. Natürlich müssen die Entwickler ihre entwickelten Produkte, in der produktiven Umgebung testen. Ich würde aber bevorzugen, den Entwicklern eine eigene Testumgebung zu erstellen und zwar basierend auf der produktiven Umgebung. Somit können sie keinen Schaden in der Produktiven Umgebung erstellen. Mit dem Tool UMove - Move or copy Active Directory for backup or recovery kann man ein/eine Clone/Kopie der produktiven Umgebung erstellen.

 

Wenn sie doch ein Teil der produktiven Umgebung sein sollen, lässt sich dieses ebenfalls realisieren. Es kommt auf die Anforderung an und daran, dass die Entwickler nicht mit zu vielen Rechten in der Domäne arbeiten.

 

Cheffe will nun einen Forest aufbauen mit 3 Tree's.

 

Was versteht er genau darunter?

Meint er die Option "Domänenstruktur in einer bestehenden Gesamtstruktur"?

Wenn er das meint, kann ich es sogar (etwas) nachvollziehen. Er möchte eben nicht, dass die Entwickler/IT nicht in der produktiven Struktur enthalten sind. Aber dann würde ich es anders aufziehen wie bereits oben erwähnt. Wenn es hier lediglich um die Entwickler geht, dann sollte man sich überlegen ob man diese nicht komplett ausgliedert (sofern dies die Ansprüche erlauben würden).

 

ICH sage, das ist mit Kanonen auf Spatzen geschossen. Ich sehe den Verwaltungsaufwand als extremen Nachteil, zumal unsere Manschaft hier fuer komplette IT Services gerade mal aus 9 Leuten besteht.

 

Dem stimme ich 100%ig zu.

Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte. Dadurch entstehen hohe Hardware- sowie Lizenzkosten. Jeder DC muss physikalisch geschützt sein. Jede Domäne muss gesichert werden (Backup).

 

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche

DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen

"nur" ihre eigene Domäne verwalten und nur dort der Admin sein.

Mir mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (das Verhalten ändert sich in Windows Server 2008).

 

netzwerktechnisch koennen wir das ganze aus bestimmten gruenden nur schlecht bis gar nicht trennen.

 

Wie wäre es mit VLANs...

 

Meine Frage nun: Kann man sowas nicht vielleicht anders in EINER Domaene realisieren ? (Site zuordnungen oder aehnliches ?!)

 

Klar, man kann das ganze anders aufziehen. Ich würde es - wenn möglich - komplett trennen.

 

Fakt ist, wegen den Entwicklern ein neues/anderes Design oder gar, den Entwicklern eine eigene Domäne hinzustellen, halte ich für maßlos übertrieben!

Share this post


Link to post
Share on other sites

Hi,

 

erstmal danke fuer deine Antwort !!

 

 

Dafür gibt es nicht unbedingt spezifische Gründe - vorallem nicht wenn beide Firmen die selben Mitarbeiter haben.

 

wie kommst du darauf ? habe ich nicht gesagt.

Die FA hat zwei haupttaetigkeitsfelder und dieser werden getrennt.

Es wird nachher niemanden geben, der in beiden firmen taetig sein wird.

 

 

Das kann durchaus Sinn machen - normalerweise haben Entwickler zwei Arbeitsplätze, einen in der produktiven Umgebung und einen in der Entwicklungsumgebung.

 

äähm..bei uns is nich allzuviel "normal"...waere ja auch langweilig. (haben z.b. ein sehr schraeges client server verhaeltnis ... auf 600 clients kommen ca 500 server)

 

 

Die Sicherheitseinheit ist der Forest, nicht die Domain - für zwei völlig unabhängige Umgebungen brauchst du also zwei Forests, je nachdem mit passenden Trusts dazwischen.

 

Das ist fuer das Szenario fuer die beiden Firmen. Firma A interessiert mich dabei gar nicht.

Fa A behaelt den jetztigen Domainnamen inkl des AD-Domain-Namens.

 

WIR muessen das ganze neu machen...und da wollen wir die Entwickler "einsperren"...

und NUR ueber Berechtigungskonzept ist das nicht machbar, auf dauer.

 

Wenn wir aber von zwei Firmen reden, wie du Anfangs erwähnt hast, und die Firmen sehr viel gemeinsames Personal haben, dann kann man aber seperate Sites definieren, eigene DCs hinstellen, und passende Berechtigungsdelegationen verwenden - wenn die IT Staff für beide Firmen diesselbe ist, dann brauchts nichtmal die.

 

Wie gesagt: Firma A interessiert mich dabei nicht mehr.

 

 

Das ist _DIE_ Gelegenheit um Unmengen an Geld für neues Netzwerkequipment zu bekommen.

 

Um das nun zu erlaeutern, muesste ich hier leider einen Roman schreiben, der Betriebsgeheimnisse enthaelt. DAs verkneif ich mir.

Nur soviel: Ihr werdet schon von irgendwem bezahlt.... alles klar ?

IT kost geld, das will niemand ausgeben...schon gar nicht, wenn die zugehhoerigkeit der IT nicht geregelt ist.

 

ICH will dabei nur nen guten job machen...was danach kommt, sehen wir ...

 

Gruss

ufu

Share this post


Link to post
Share on other sites

Gude nach Määnz aus FFM,

 

Danke fuer deine Aufuehrliche Antwort, Daim

 

immer diese Politiker, machen nichts nur als Ärger ;).

 

so siehts aus !

 

 

Eine eigene Gesamtstruktur für die Entwickler ist wohl nicht gewünscht?

Ich würde das auf alle Fälle favorisieren! Komplett getrennt von der produktiven Umgebung.

 

Du meinst damit das szenario: FIRMAA als Stammdom. dann prod.firmaa und dev.firmaa ?

also mit subdomains ?

 

Ich denke an das Szenario, dass ein wild gewordener Entwickler, der zufällig auch noch Organisations-Admin Rechte hat und auf den "Knopf" drückt. Garnicht auszudenken was alles passieren könnte.

 

ganz genau daraum geht's... das ist der IST zustand...gluecklicherweise per Berechtigungen eingegrenzt..

 

Mit dem Tool UMove - Move or copy Active Directory for backup or recovery kann man ein/eine Clone/Kopie der produktiven Umgebung erstellen.

 

Danke, werde ich mir mal ansehen.

 

Was versteht er genau darunter?

 

DAS wissen nur die Goetter...dank der doch etwas schraegen Begrifflichkeiten von MS, die mich auch immer zum straucheln bringen, ist das etwas undurchsichtig.

 

Meint er die Option "Domänenstruktur in einer bestehenden Gesamtstruktur"?

Wenn er das meint, kann ich es sogar (etwas) nachvollziehen. Er möchte eben nicht, dass die Entwickler/IT nicht in der produktiven Struktur enthalten sind. Aber dann würde ich es anders aufziehen wie bereits oben erwähnt. Wenn es hier lediglich um die Entwickler geht, dann sollte man sich überlegen ob man diese nicht komplett ausgliedert (sofern dies die Ansprüche erlauben würden).

 

so...und nu strauchel ich schon wieder :(

glaub ich schnapp mir mal wieder n AD buch.

 

Wie wäre es mit VLANs...

 

Da dies im Gespraech ist, ist es mein Favorit. Jedoch lassen verschiedene gegebenheiten ein sofortiges umstellen wohl derzeit nicht zu.

 

Klar, man kann das ganze anders aufziehen. Ich würde es - wenn möglich - komplett trennen.

 

aber wie trennen ? so wie ich es oben beschrieben habe ? stammdomaene und untergeordnete domaenen ?

 

Fakt ist, wegen den Entwicklern ein neues/anderes Design oder gar, den Entwicklern eine eigene Domäne hinzustellen, halte ich für maßlos übertrieben!

 

sag ich ja ;)

 

sorry, wenn das n bisschen chaotisch zugeht...aber genau das spiegelt den derzeitigen stand wieder...

 

trotzdem schonmal vielen Dank an Euch fuer die Hilfe !

 

Gruss

ufu

Share this post


Link to post
Share on other sites

wie kommst du darauf ? habe ich nicht gesagt.

Die FA hat zwei haupttaetigkeitsfelder und dieser werden getrennt.

Es wird nachher niemanden geben, der in beiden firmen taetig sein wird.

 

Okay. Dein Posting hat ja auch nicht alles ausdefiniert, und ich habs in der Praxis schon häufig gesehen das man aus steuerrechtlichen oder anderen Gründen zwei Firmen gemacht hat, eine getrennte Infrastruktur machen wollte, und 75% der MA in beiden Firmen tätig waren - daher leitete sich diese Äusserung ab. War also reine Interpretation von mir.

 

 

 

 

WIR muessen das ganze neu machen...und da wollen wir die Entwickler "einsperren"...

und NUR ueber Berechtigungskonzept ist das nicht machbar, auf dauer.

 

Wie von mir und auch von Daim schon geschrieben - du brauchst zwei Forests für eine komplette Auftrennung. Das braucht dann eine Menge Infrastruktur mehr, weil du vieles doppelt haben musst. Virenscanner, Deployment, etc.

 

IT kost geld, das will niemand ausgeben...

 

Wenn du als Dienstleister arbeitest ist das noch viel schlimmer als bei interner IT :)

 

Aber letztendlich brauchst du, um deinen Job gut zu machen, auch Geld für passende Infrastruktur. Ich hab keine Ahnung wie eure Firma organisiert ist, aber jetzt ist es deine Aufgabe, oder die deines Chefs, der Geschäftsleitung klarzumachen wieso ihr Geld braucht um diese Trennung passend vorzunehmen - welche Vorteile das für die Firma hat (z.B. höhere Verfügbarkeit, weniger Probleme). Es ist ganz normales Verkaufen, mit dem Unterschied das dir mehr Vertrauen entgegengebracht wird als einem externen Dienstleister.

 

Je nachdem was für eine Geschäftsleitung ihr habt kanns auch helfen ein paar Management-Magazine zu lesen, und dir die passenden Buzzwords rauszusuchen.

Share this post


Link to post
Share on other sites

Nimm doch eine virtualisierungs Lösung, und schieb die bestehende Struktur da rein - Daim hat dir schon ein Tipp dazu gegeben, ich könnte noch ein paar andere liefern, wie man das realisiert. Es könnte Virtual Server von MS sein, aber aus performance Gründen rate ich zu VMware.

 

Die Kiste wo die Struktur läuft müsste je nach Grösse und Anzahl Entwickler relativ gut ausgestattet sein aber der vorteil wäre, dass man sich jegliches Netzwerk-Equipment spart da es virtualisert auf dieser einen Kiste (könnten aber genausogut mehrere sein) läuft.

 

Könnte man noch fleissig weiter spinnen die Idee, Hauptsache etwas zum drüber nachdenken...;)

Share this post


Link to post
Share on other sites
Cheffe will nun einen Forest aufbauen mit 3 Tree's.

 

ICH sage, das ist mit Kanonen auf Spatzen geschossen. Ich sehe den Verwaltungsaufwand als extremen Nachteil, zumal unsere Manschaft hier fuer komplette IT Services gerade mal aus 9 Leuten besteht.

Wenn er das so wünscht, so muss er auch die nötigen Ressourcen zur Verfügung stellen! Die Ressourcen zu berechnen ist Aufgabe des Leiters IT! Die Äusserung vom "extremen Nachteil" ist erstmal als Übertreibung zu werten.

Share this post


Link to post
Share on other sites

hi zusammen,

 

 

Wenn er das so wünscht, so muss er auch die nötigen Ressourcen zur Verfügung stellen! Die Ressourcen zu berechnen ist Aufgabe des Leiters IT! Die Äusserung vom "extremen Nachteil" ist erstmal als Übertreibung zu werten.

 

Nunja, zum ersten teil gebe ich dir absolut recht...aber, wie schon gesagt...bei uns ist alles anders...

da wird auch schonmal davon gesprochen, die migrationsumgebung auf ein paar workstations zu installieren...das sind die momente, in denen ich mich auf eine insel wuensche...

 

zum zweiten teil...nunja..das ist MEINE sicht...da am ende, der ganze AD Verwaltungsakt an MIR kleben bleibt...

denn die genannten 9 teilen sich auch noch in operating und co auf...im W2k3 / Exchange / Softwareverteilungs-umfeld gibts dann 2 leute.

und das die dann mehrere domaenen verwalten sollen, find ich schon n bisschen heavy, da es ja derzeit schon kaum noch zu bewaeltigen ist.

aber das liegt an der in hoheren ebenen...

 

das unternehmen hatte mal 20 leute und jetzt sinds ueber 2000, aber es gilt der leitsatz " das haben wir schon immer so gemacht"...

is nich leicht...sonst wuerd ich hier nich fragen ;-)

Share this post


Link to post
Share on other sites
Gude nach Määnz aus FFM,

 

Boahh... ein Hesse ;).

 

Du meinst damit das szenario: FIRMAA als Stammdom. dann prod.firmaa und dev.firmaa ? also mit subdomains ?

 

Nein. Ich meine: eine völlig andere/getrennte Gesamtstruktur für die Entwickler.

Also z.B. lautet die Domäne für die Produktion "Firma.de" und die Domäne für die Entwickler "Entwickler.de". Sie haben erstmal nichts miteinander zu tun.

Wenn sich dann aber beide Forests im Gesamtstrukturfunktionsmodus "Windows Server 2003" befinden, kann man eine Gesamtstrukturvertrauensstellung schaffen.

 

Siehe:

Yusuf`s Directory - Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen

 

 

aber wie trennen ? so wie ich es oben beschrieben habe ? stammdomaene und untergeordnete domaenen ?

 

Wenn es geht, wie oben erwähnt, komplett trennen und lediglich eine Vertrauensstellung schaffen. Wenn das aber nicht gewünscht ist, dann eben eine untergeordnete Domäne mit den geringsten Rechten an die Entwickler.

 

 

sorry, wenn das n bisschen chaotisch zugeht...aber genau das spiegelt den derzeitigen stand wieder...

 

Das ist nicht weiter tragisch. Erschwert dann aber eine gute Hilfestellung zu geben, wenn das Ziel nicht klar definiert ist.

Share this post


Link to post
Share on other sites

Daim's vorschlag ginge natürlich auch virtualisiert: Eigener Forest in VMs packen und Vertrauensstellungen aufbauen - der Vorteil bleibt aber: Weniger Anschaffungskosten bei Server und Netzkomponenten Hardware.

Share this post


Link to post
Share on other sites
Boahh... ein Hesse ;).

 

aber ein wohlgesonnener ;-)

 

Nein. Ich meine: eine völlig andere/getrennte Gesamtstruktur für die Entwickler.

Also z.B. lautet die Domäne für die Produktion "Firma.de" und die Domäne für die Entwickler "Entwickler.de". Sie haben erstmal nichts miteinander zu tun.

Wenn sich dann aber beide Forests im Gesamtstrukturfunktionsmodus "Windows Server 2003" befinden, kann man eine Gesamtstrukturvertrauensstellung schaffen.

 

nunja...das ist ja dann tatsaechlich DAS, was cheffe gerne haette...

nur, das er die IT dann zusaetzlich EBENFALLS in eine eigene Gesamtstruktur packen will.

 

den link schau ich mir gleich ma an !vielleicht faellt dann auch bei mir der groschen !

 

Das ist nicht weiter tragisch. Erschwert dann aber eine gute Hilfestellung zu geben, wenn das Ziel nicht klar definiert ist.

 

Danke fuer die Nachsicht fuer einen Hessen ;-) um ehrlich zu sein, geht mir das ganze thema zur zeit schwer an die Nieren, da ich allein dran haenge und versuche unsinn durch cheffe zu vermeiden...da ich der ueberzeugung bin, das er noch chaotischer mit den begrifflichkeiten unterwegs ist, als ich ;)

 

gruss

ufu

Share this post


Link to post
Share on other sites

 

 

 

nunja...das ist ja dann tatsaechlich DAS, was cheffe gerne haette...

nur, das er die IT dann zusaetzlich EBENFALLS in eine eigene Gesamtstruktur packen will.

 

den link schau ich mir gleich ma an !vielleicht faellt dann auch bei mir der groschen !

 

 

Wobei man aufpassen muss: Das von Daim geschilderte Beispiel kann bedeuten (firma.de/entwickler.de), dass das Schema gleich ist, aber der Namespace geteilt. In diesem Fall redet man tatsächlich von Trees. Aber wie erwähnt, das Schema wird von beiden Trees benutzt. Ein entwickler der Schema Admin ist kann so auch das Produktiv Schema durch eine unbedachte Erweiterung killen.

 

Wenn sie ein Schema zu Spielen brauchen muss man Daims Rat befolgen: Zwei Forests!

Share this post


Link to post
Share on other sites
Off-Topic:
...aber, wie schon gesagt...bei uns ist alles anders...
Ich kann das Geschilderte schon nachvollziehen, mir erscheint das nicht unbekannt.

Alles gute, viel Erfolg.

Share this post


Link to post
Share on other sites

Aloha,

 

Wobei man aufpassen muss: Das von Daim geschilderte Beispiel kann bedeuten (firma.de/entwickler.de), dass das Schema gleich ist, aber der Namespace geteilt.

 

das würde jetzt zu weit gehen. Der Cheffe weiß bestimmt nicht (von was er selbst spricht), dass was du hier schreibst (was richtig ist).

Das würde hier höchstens für noch mehr Verwirrung führen ;-).

 

Wenn sie ein Schema zu Spielen brauchen muss man Daims Rat befolgen: Zwei Forests!

 

So sieht es aus!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...