Jump to content

Neue Domain oder Trusted Domain

surfacing

Von surfacing
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

surfacing Rising Star

surfacing   32

Geschrieben
Geschrieben

Hallo Freunde von Spiel, Spaß, Einsen und Nullen,

 

ich bräuchte mal  euer Wissen für eine Verständnisserklärung.

 

Unsere Firma wurde gekauft und soll nun in ein neues Domänennetzwerk integriert werden, und es stellt sich für mich die Frage ob diese Aktion überhaupt Sinn macht, oder ob es nicht einfacher wäre mit der neuen Domäne einfach einen Trust einzugehen.

 

Alte Domain: old.local

neue domäne: new.konzern.local

Konzerndomain: konzern.local

 

Ziel ist es, dass es nur noch ein großes Firmennetzwerk gibt, welches untereinander verbunden ist und diverse Programme wie Exchange, Sharepoint und und ineinander greifen. Auch die Kommunikation unter den Server DNS; DHCP usw usw soll aus einem Guss kommen.

 

Wir müssen jedoch JEDEN Rechner, Server usw usw. in die neue Domäne reindonnern, was auch bedeutet dass viele Programme oder Server Applikationen neu konfiguriert n, Benutzerkonten, und Dienstkonten neu angelegt werden müssen.

 

Zu was würdet ihr raten, ab in die neue Domäne, oder die alte Domäne behalten und einen Trust mit der neuen Domäne eingehen?

 

Ich bin auf eure Meinung gespannt.

 

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.826

Geschrieben
Geschrieben

Wenn du dir nicht sicher bist, warum fragst du dann nicht die EDV Abteilung des Konzerns, der solche Forderungen stellt? Grundsätzlich ist ein externer Trust sicher fürs erste einfacher, aber auf Dauer einfach nur "nervig". Wenn du "Angst" hast, deine Unabhängigkeit zu verlieren, dann wirst du wohl nen neuen Job suchen müssen. Migrationstechnisch ist das "reindonnern" der Rechner in die neue Domain mit genügend Vorlauf und Planung relativ unkritisch, weils dafür genügend WErkzeuge gibt.

 

Bye

Norbert

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.791

Geschrieben
Geschrieben

Moin,

 

ich stimme Norbert zu und ergänze: Bei solchen Fragen gibt es kein "richtig" oder "falsch", sondern es hängt davon ab, was man erreichen will. Damit ist das ein Thema, das für ein Forum nur sehr begrenzt geeignet ist.

 

Wenn man eine integrierte Umgebung möchte, ist eine gemeinsame AD-Umgebung (einheitlicher Forest) dafür schon sehr sinnvoll. Wie dort das genaue Modell aussehen kann oder soll, ist eine separate Frage.

 

Der Aufwand einer solchen Integration ist nicht ohne, aber durchaus zu leisten. Hier muss man dann eine Kosten-Nutzen-Betrachtung machen, die sinnvollerweise die Konzernmutter anstellt (und die nicht "mal eben" fertig ist).

 

Gruß, Nils

Link zu diesem Kommentar
surfacing Rising Star

surfacing   32

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Mir geht es nicht um "Angst" oder dergleichen, die Migration ist auch schon erledigt und abgeschlossen. Natürlich habe ich auch die Meinung der IT Leitung mir angehört, fand es jedoch für mich nicht 100% schlüssig. Jedoch wollte ich mir einfach persönlich von anderen IT Profis ihre Meinung hören, welche sowas schon mal mit gemacht  bzw. öfters machen.

 

Danke Norbert und Nils für deine Antwort.

bearbeitet von surfacing
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Hallo,

 

der CEO der Mutter war bei uns zur Besichtigung, wollte sich im Büro unseres Leiters an einem Rechner anmelden wie daheim in seinem Büro, es funktionierte natürlich nicht, da er den Schalter für die Domäne nicht umstellte auf "Mutter", der war nicht sichtbar und von dem wusster er auch nichts, unser Leiter auch nicht. Grosse Blamage, grosse Panik, grosser Anschiss waren die Folgen.

 

Ein Ein-Domänen-Modell gilt wohl als eine gute, möglicherweise die bessere Lösung als andere, z.B. die Benutzerverwaltung an zentraler Stelle eventuell auf Anweisung einer Personalverwaltung.

 

Es ist wohl natürlich, eine "übergeordnete" IT und deren Leiter wollen eine aufgekaufte Einheit sich einverleiben, sich zu vergrössern, damit den eignen Etat und die eigene Bedeutung zu steigern, weiter kann man sich mit solcher Integration richtig schön profilieren, z.B. mit dem Senken der Kosten. Und dann gibt es da noch den Wunsch der Vereinheitlichung, nach Einfachkeit, nach leichtem Überblick, man findet das einfach besser.

 

DHCP und DNS aus einem Guß? Na schön, wir müssen das nicht um des Kaiser Bart streiten, sind in Wirklichkeit wohl nur nebensäche Dinge, vorgeschobene Schlagwörter. Natürlich machen das die Leute aus der Zentrale, die planen das jedenfalls.

bearbeitet von lefg
Link zu diesem Kommentar
carnivore Experienced

carnivore   10

Geschrieben
Geschrieben

Hallo,

Man sollte bedenken, dass sich in einem Forest jeder Domainadmin relativ leicht zum Enterpriseadmin aufschwingen und damit überall hingreifen kann.

Man muss seinen Domainkollegen des einheitlichen Forests also vertrauen, denn In manchen Umgebungen nimmt die Rolle Domainadmin auch schonmal ein externer Kollegen war.

Das ist so mein Argument gegen einen Forest mit zu vielen Domänen. Vorteile bietet ein Forest natürlich auch viele

 

Carnivore

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Das ist so mein Argument gegen einen Forest mit zu vielen Domänen. Vorteile bietet ein Forest natürlich auch viele

 

Es wäre in diesem Fall ja kein Forest, oder?

 

Die übergeordnete IT wird wohl keine Argumente für oder wider hören wollen, sehr wahrscheinlich ist die Sache längst entschieden, war sie schon vor dem Gespräch mit dem Admin der aufgekauften Einheit.

 

Eine Frage oder zwei könnten sein, welchen Einfluss kann die IT der Mutter auf die Tochter ausüben und welche Befugnis hat sie gegenüber der Tochter und dessen Admin? Bekommt der Admin künftig die Anweisungen nicht mehr von seinen Leuten oder bekommt er sie von der Zentrale? Ist das tatsächlich angewiesen von jemanden der das darf, verbindlich, schriftlich?

bearbeitet von lefg
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.791

Geschrieben
Geschrieben

Moin,

 

das bezog sich auf die Aussage weiter oben, dass "ein Forest sehr sinnvoll" sei.

Administrationstechnisch ja, sicherheitstechnisch zumindest nicht pauschal

 

bitte richtig zitieren. Da stand:

 

Wenn man eine integrierte Umgebung möchte, ist eine gemeinsame AD-Umgebung (einheitlicher Forest) dafür schon sehr sinnvoll. Wie dort das genaue Modell aussehen kann oder soll, ist eine separate Frage.

 

Von pauschal ist da ja nun ausdrücklich nicht die Rede. Außerdem bezog ich mich auf einen einheitlichen Forest - im (impliziten) Gegensatz zu einem Modell mit externen Vertrauensstellungen.


Da auch eine Einzeldomäne ein Forest ist, war mein Hinweis gerade nicht als Empfehlung eines Mehrdomänenmodells zu verstehen. Daher ja auch der direkt folgende Satz, der das genaue Modell als separate Frage kennzeichnet. Ob zum Beispiel die Sicherheitsfrage überhaupt eine Frage ist, hängt wesentlich vom organisatorischen Aufbau ab.

 

Aber, wie gesagt, inhaltlich verlassen wir damit den Bereich, der in einem Forum sinnvoll zu behandeln ist.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...