Jump to content

Sinnvolle Active Directory Struktur planen / erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Erstmal ein herzliches Hallo an Alle!

 

Ich entschuldige mich schonmal wenn ich mich bei den Themen die ich ansprechen werde Falsch ausdrücken werde und hoffe das ich in diesem Forum richtig bin.

 

Ich habe erst vor drei Tagen angefangen mich mit Windows 2008 Server (AD,GPO,WSUS,WDS) auseinander zu setzen. Ich habe den Auftrag in meiner Firma bekommen mich näher mit Active Directory, Gruppenrichtlinien, Druckerverteilung ect. und später mit Exchange Server zu befassen. Das Ziel ist im moment eine sinnvolle Struktur in die Domäne reinzubringen, sprich einen logischen Aufbau der Domäne in OUs für die spätere Gruppenrichtlinienverwaltung etc..

 

Ich muss dazu noch sagen das es sich erstmal um ein Pilotprojekt handelt. Dem der den Server ausgesetzt hat fehlt die Zeit sich näher mit zu beschäftigen. Ich selber habe nur Grundkenntnisse in dem Bereich und kenne somit leider nicht die ganzen Möglichkeiten die Active Directory bietet, aber ich bin dabei mir das Wissen dafür anzueignen.

 

Ein paar kleine Daten vorab.

Wir sind eine kleine Firma (12 Mitarbeiter) im Bereich Softwareentwicklung.

Bestehend aus den "Abteilungen":

 

  • Entwickler
  • Buchhaltung
  • Geschäftsführung
  • Werkstudenten
  • Vertrieb
  • Büro
  • Techniker

 

Wobei die Geschäftsführung auch im Vertrieb und Buchhaltung ist.

Jeder Mitarbeiter hat einen festen Arbeitsplatz. Es kommt sehr selten vor, dass sich ein Mitarbeiter auf einem anderen Arbeitsplatz arbeitet.

Die Techniker sind Mitarbeiter die außendienstlich arbeiten und kommen nur gelegentlich in die Firma. Die Techniker arbeiten hauptsächlich auf Laptops und verbinden sich mit der Domäne über VPN.

 

Ich möchte gerne von euch Wissen wie Beispielsweise ein sinnvoller Aufbau für diese Domäne wäre. Ein paar Ideen aus der Praxis wären für mich sehr Hilfreich. Ich möchte erstmal die Abteilungen/Benutzer/Computer mit ein paar GPOs versorgen. Beispielsweise Druckerverteilung, Umgeleitete Benutzerordner auf dem Server...

 

Ich hoffe, dass die Informationen genügen. Bei Bedarf werde ich die nachreichen.

 

Zurzeit arbeite ich auf einem Windows 2008 Server Testsystem, das ich unter VMware aufgesetzt habe. Als Clients dienen Win7 und WinXP.

 

Ich danke schonmal für das Lesen :)

 

Gruß

 

Richman163

Link zu diesem Kommentar

Moin,

 

für Grundlagen ist ein Forum kein geeignetes Medium. Bitte eigne dir das Grundwissen auf andere Weise an. Bei konkreten Fragen helfen wir gern.

 

Als Fingerzeig, damit du nicht in die falsche Richtung denkst: AD ermöglicht es, sehr große Umgebungen mit mehreren zehntausend Objekten zu verwalten. Viele Mechanismen, die dafür gedacht sind, ergeben in kleinen Umgebungen keinen Sinn. Pauschal empfehle ich, die Umgebung so simpel zu halten, wie es ihrer sehr geringen Größe entspricht.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Richman163,

 

ich muss Nilsk is der Form Recht geben, dass das Forum für die Umfassende Fragestellung kein geeignetes Medium ist. Allerdings wenn du dich Thematisch damit auseinander setzen willst, kannst du Lernerisch mit z.B. diesem Buch Active Directory für Windows Server 2008 nötiges Wissen aneignen. Das garantiert dir zwar kein Wissen bis ins letzte Detail, aber es vermittelt dir schon mal das aller nötigste.

 

Wenn du dich mal bei Google umschaust werden dir dort div. Lernmöglichkeiten aufgezeigt.

 

Viel Spaß beim Lernen und probieren.

 

Wenn du dich dann entsprechend Informiert hast und darüber hinaus noch Fragen hast, wird dir sicher gerne geholfen.

Link zu diesem Kommentar

Ich danke für die Antworten.

 

Also ich merke schon das Active Directory kein Thema ist, was man sich mal "nebenbei" aneignet. Ich entnehme mir das Wissen gerade aus dem Buch "Windows Server 2008 - Einrichten und Verwalten von Unternehmensnetzwerken" von Dirk Rzepka und Uwe Bünning. Mir fehlen gerade zum Thema Planung und Verwaltung eines ADs praktische Beispiele in diesem Buch. Ich weiß auch nicht, ob diese Literatur für den Anfang geeignet ist.

 

Ich würde mich freuen wenn ihr mir ein paar Links bzw. Bücher bezüglich dem Thema empfehlen könntet. Gerade wo in die Praxis eingegangen wird.

 

Die Buchempfehlung von dir Nikon werde ich mir mal genauer unter die Lupe nehmen.

 

Gruß

 

Richman163

Link zu diesem Kommentar

Hi Richman163.

 

Guck' Dir doch mal sowas an:

 

Galileo Computing :: Windows Server 2008 R2 – 8.2 Planung und Design des Active Directory

oder:

Active Directory planen 1

und natürlich Nils' Seite:

faq-o-matic.net

 

Zumindest mußt Du dann nicht gleich Geld für Bücher über den Tisch langen von denen Du nicht weißt ob sie Dir helfen können.;)

 

ciao, 'nen angenehmen Tag und viel Spaß beim stöbern und lernen.

M.

Link zu diesem Kommentar

Hallo Richmann,

 

Wir sind eine kleine Firma (12 Mitarbeiter) im Bereich Softwareentwicklung.

Bestehend aus den "Abteilungen":

 

* Entwickler

* Buchhaltung

* Geschäftsführung

* Werkstudenten

* Vertrieb

* Büro

* Techniker

 

 

Wobei die Geschäftsführung auch im Vertrieb und Buchhaltung ist.

 

Als erstes erstellst du die OUś mit sprechenden Namen.

Dann fügst du die entsprechenden Nutzer und Computer etc in die OUś ein.

Nun strickst du die GPOś und verknüpfst sie mit den OUś.

 

Im Vorfeld hast du dir Gedanken über die NTFS-Rechte und Sicherheitsgruppen und Verteilergruppen gemacht und die Benutzer in die entsprechenden Gruppen eingefügt.

 

Mein Tipp ist: Halte es so einfach wie irgend möglich und erstell dir eine vernünftige Dokumentation.

Link zu diesem Kommentar

Ich habe mir das eine Praxisszenario auf gruppenrichtlinien.de angeschaut. Dort werden Benutzer und Computer voneinander getrennt. Wird das immer so gemacht? Was hat sich da *eingebürgert?

 

*Ich kann mir vorstellen das es viele unterschiedliche Szenarien gibt.

 

In meinem Fall wäre das dann jetzt eine OU für Computer und eine für User und in diesen beiden Containern jeweils die Organisationsstrutur.

 

Also

 

->User

--->Verwaltung

--->Geschäftsführung

 

->Computer

--->Verwaltung

--->Geschäftsführung

 

Und dann jeweils Gruppenrichtlinien einmal für Benutzerkonfigurationen und einmal für Computerkonfigurationen. Also auf den ersten Blick finde ich das gut, da es sauber voneinander getrennt ist. Wäre denn sowas angemessen?

 

Ein paar praxis Beispiele wären für mich gar nicht mal so schlecht, da ich noch nicht genau weiß was man alles mit Gruppenlinen so anstellen kann (Es gibt dort ja unmengen von Richtlinien). Am besten wo ich sehen kann wie es in kleinen und großen Unternehmen ausschauen könnte. Dann kann ich mir das evtl. besser vorstellen. Das wäre sehr nett :)

 

Gruß

 

Richman

bearbeitet von Richman163
Link zu diesem Kommentar
Ich habe mir das eine Praxisszenario auf gruppenrichtlinien.de angeschaut. Dort werden Benutzer und Computer voneinander getrennt. Wird das immer so gemacht? Was hat sich da *eingebürgert?

 

Das kann jeder machen wie er möchte. ;) Es muß für dich übersichtlich und administrierbar sein.

 

*Ich kann mir vorstellen das es viele unterschiedliche Szenarien gibt.

 

10 ADs, 15 Meinungen. ;)

 

->User

--->Verwaltung

--->Geschäftsführung

 

->Computer

--->Verwaltung

--->Geschäftsführung

 

Und dann jeweils Gruppenrichtlinien einmal für Benutzerkonfigurationen und einmal für Computerkonfigurationen. Also auf den ersten Blick finde ich das gut, da es sauber voneinander getrennt ist. Wäre denn sowas angemessen?

 

Oversized. Erstell eine OU MeineFirma, darin MeineBenutzer und MeineComputer. Da Benutzereinstellungen nur auf Benutzerobjekte wirken, kannst Du also auf die OU MeineFirma alle möglichen GPOs verlinken, der Computer übernimmt keine Benutzereinstellung. Wenn nur bestimmte Computer oder Benutzer damit erreicht werden sollen, würde ich zu Sicherheitsgruppen greifen, die kannst Du bei den Sicherheitseinstellungen eintragen. Die Authentifizierten Benutzer (da sind auch die Computerkonten enthalten) dafür dann raus auf der GPO.

 

Ein paar praxis Beispiele wären für mich gar nicht mal so schlecht, da ich noch nicht genau weiß was man alles mit Gruppenlinen so anstellen kann (Es gibt dort ja unmengen von Richtlinien).

 

Fang mit dem WSUS an. Die Beispiel-GPO kannst Du auf die OU MeineFirma verlinken, es werden Benutzer- und Computerobjekte damit erreicht. http://www.wsus.de/images/WSUSGPO.png

Link zu diesem Kommentar

Also ich hoffe du hast mich richtig verstanden, ich bin eigentlich aus der Konfiguration von meiner Organisationsstruktur von meinem ersten Beitrag ausgegangen. Das wären 7 Abteilungen. Habe es nur gekürzt um nicht alles hinzuschreiben ;)

 

Das mit den Sicherheitseinstellungen in den GPOs ist ja eine echt gute Sache und hat mir ein Gedankenstoß gegeben. Danke schonmal dafür!

 

Ist das eigentlich Geschmackssache bei einem kleinem Unternehmen (wie bei mir) die Vergabe der GPOs über den Sicherheitseinstellungen zu lösen oder über die Organisationsstruktur - Quasi GPO-Verteilung über OUs? Oder kombiniert? Ich habe gelesen dass man Organisationsstruktur der Firma auf die Domäne abbilden sollte. Wie ich es bereits vor hatte zu machen. Aber das hängt anscheinend von der Größe der Firma und dem KISS-Prinzip bzw. Überschaulichkeit / Administrierbarkeit ab.

 

Ein Beispiel wäre jetzt von mir:

 

Wir in der Firma haben zwei Netzwerkdrucker. Ich wollte über jeweils eine GPO diese Drucker auf die Abteilungen verteilen. Buchhaltung und Vertrieb sollen Drucker1 benutzen der Rest der Firma Drucker2. Die Geschäftsleitung soll über beide Drucker verfügen können(also über beide GPOs). Also eine GPO(Drucker1) und eine GPO(Drucker2). (Macht das so sinn?)

 

Ich ich müsste dann die GPO-Verknüpfungen an die einzelnen Abteilungen verteilen wobei die Geschäftsleitung beide erhält.

Es wären schon einige Verknüpfungen der GPOs von nöten.

 

Ich merke aber, dass ich in diesem Beispiel lieber auf Sicherheitsgruppen zurückgreifen sollte. Es würde nicht viele Verknüpfungen kosten (Ob viele Verknüpfungen schlecht oder nicht sind, dass weiß ich auch noch nicht ;) ).

 

Ist es schon zu viel des Guten, wenn ich das über Sicherheitsgruppen UND eine gute OU-Struktur machen würde? Oder nur für eines der beiden Möglichkeiten von Anfang an entscheiden sollte?

 

Gruß

 

Richman

Link zu diesem Kommentar
Ich habe gelesen dass man Organisationsstruktur der Firma auf die Domäne abbilden sollte.

 

Nein. Ja ein Pauschal-NEIN. Sowas richtet sich nach den Anforderungen und nicht darum, ein möglichst originalgetreues Organigramm im AD abzubilden. Dass es trotzdem manchmal sinnvoll ist die Organisationsstruktur als Vorbild zu nehmen kommt vor.

 

Bye

Norbert

Link zu diesem Kommentar
Also ich hoffe du hast mich richtig verstanden, ich bin eigentlich aus der Konfiguration von meiner Organisationsstruktur von meinem ersten Beitrag ausgegangen. Das wären 7 Abteilungen. Habe es nur gekürzt um nicht alles hinzuschreiben ;)

 

Dachte ich mir schon. Aber bei 12 Mitarbeitern ist es trotzdem IMHO oversized.

 

Ist das eigentlich Geschmackssache bei einem kleinem Unternehmen (wie bei mir) die Vergabe der GPOs über den Sicherheitseinstellungen zu lösen oder über die Organisationsstruktur - Quasi GPO-Verteilung über OUs? Oder kombiniert?

 

Ich würde das bei einer größeren Firma auch so machen. Oder dort dann auch nach Standorten unterscheiden. Du mußt damit klar kommen, es soll einfach und überschaubar sein.

 

Ich habe gelesen dass man Organisationsstruktur der Firma auf die Domäne abbilden sollte. Wie ich es bereits vor hatte zu machen. Aber das hängt anscheinend von der Größe der Firma und dem KISS-Prinzip bzw. Überschaulichkeit / Administrierbarkeit ab.

 

Du mußt es administrieren oder evtl. ein Kollege von dir.

 

Wir in der Firma haben zwei Netzwerkdrucker. Ich wollte über jeweils eine GPO diese Drucker auf die Abteilungen verteilen. Buchhaltung und Vertrieb sollen Drucker1 benutzen der Rest der Firma Drucker2. Die Geschäftsleitung soll über beide Drucker verfügen können(also über beide GPOs). Also eine GPO(Drucker1) und eine GPO(Drucker2). (Macht das so sinn?)

 

Ja, kannst Du so machen. Wenn Du die GPPs nutzt, gehts möglicherweise in einer GPO: GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen

 

Ich ich müsste dann die GPO-Verknüpfungen an die einzelnen Abteilungen verteilen wobei die Geschäftsleitung beide erhält.

 

Jepp.

 

Ich merke aber, dass ich in diesem Beispiel lieber auf Sicherheitsgruppen zurückgreifen sollte. Es würde nicht viele Verknüpfungen kosten (Ob viele Verknüpfungen schlecht oder nicht sind, dass weiß ich auch noch nicht ;) ).

 

Mein persönlicher Favorit sind die Sicherheitsgruppen, die kann ich möglicherweise auch auf dem Fileserver für NTFS-Berechtigungen verwenden.

 

Ist es schon zu viel des Guten, wenn ich das über Sicherheitsgruppen UND eine gute OU-Struktur machen würde? Oder nur für eines der beiden Möglichkeiten von Anfang an entscheiden sollte?

 

Warum doppelt den Sack Flöhe zunähen? ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...