Best Practise: Unterscheidung Active Directory Account vs. Angestellter

[m0insen 1]

Hallo zusammen,

 

da wir noch einen Haufen Windows Server CALs ohne SA mitschleppen und bei uns ein Wechsel auf Windows Server 2012R2 ansteht, überlegen wir, wie wir im Active Directory nicht zu lizenzierende Accounts (Serviceaccounts, Zweitaccounts, Testaccounts, IT-Accounts,...) kennzeichnen.

 

Wie sehen eure Erfahrungen im Betrieb/beim Kunden aus? Angestellte und Restaccounts durch Organization Units trennen? Oder nutzt ihr das Description Feld pro User Account?

 

Würde mich über ein paar Ideen freuen. 

Grüße

[Gulp 227]

Da Accounts ohnehin nicht lizenziert werden müssen, sondern nur echte Personen, zählen wir ganz einfach unsere Mitarbeiter ...... oder Geräte je nachdem .....

 

Grüsse

 

Gulp

bearbeitet 19. August 2015 von Gulp

[m0insen 1]

Hmm... klingt sinnig.

 

...passt bei uns leider nicht, dafür sind die einzelnen Standorte/Firmierungen zu unabhängig voneinander und ein reines MA = #User CALs funktioniert schon deshalb nicht, weil z.B. produktionnahe Mitarbeiter nur zum Teil Zugriff auf das Netzwerk haben.

 

Trotzdem danke für das Feedback :)

[Daniel -MSFT- 129]

Wenn Du mit User-CALs lizenzieren willst, dann musst Du auch jeden zugreifenden User lizenzieren. Da hilft es Dir nicht, wenn mehrere User sich einen Account z.B. teilen. Auch wenn ein produktionsnaher Mitarbeiter nur zum teil Netzwerkzugriff hat, muss er lizenziert werden, wenn er lizenzpflichtige Dienste direkt oder indirekt nutzt. da reicht schon die Zeiterfassung, wenn die z.B. die Daten im SQL-Server speichert.

[m0insen 1]

Hallo Daniel, danke für die Ausführungen, das ist mir schon klar. Aus eben diesen Regeln erfolgt ja die Komplexität, die ich möglichst elegant und einfach zu lesen auch im AD abbilden möchte. Ich skizziere mal (modellhaft) eine Umgebung. Es gibt

 

• Den typischen Angestellten mit PC Zugriff <-- User CAL
• Den typischen Produktionsangestellten (Bsp: Logistikmitarbeiter). Dieser hat keinen individuellen Account, sondern teilt sich mit anderen ein Terminal, um Zugriff auf Aufträge zu haben <-- Device CAL

Jetzt gibt es schon zwei Typen von User Objekten im AD, wobei ich die "Multi-User-Accounts" ja schon kennzeichnen und direkt sichtbar konkreten lizenzierten Device zuordnen möchte (z.B. in der Description oder über eigene OUs).

 

Wir sind aber lang nicht fertig, sondern es gibt im AD noch jede Menge weitere Objekte vom Typ User... z.B.

• Service Accounts von Diensten
• Testaccounts von ITSM Mitarbeitern, um in bestimmte Berechtigungsrollen von Kunden schlüpfen zu können.
• administrative IT Accounts mit erhöhten Rechten
• temporär gesperrte Accounts, die aber nicht gelöscht werden dürfen (z.B. Mutterschutz)
• usw...

Diese ganzen lizenzrechtlich wichtigen Unterschiede lassen sich in SAM Tools problemlos abbilden, bleiben dann aber im AD unsichtbar. Daher war/bin ich daran interessiert, wie andere ihr AD strukturieren...

 

Grüße, Malte

[tesso 360]

Du bist dir hoffentlich im Klaren, daß bei Device-Cal für die Produktionskollegen, du jedes Gerät was aufs Netz zugreift auch mit Device-Cal versorgen musst?

Drucker, Zeriterfassungsterminals, NW-Scanner, etc. Da kommt schnell eine grössere Liste zusammen.

[Doso 77]

Wir haben so "Funktionsaccounts" in einer AD Gruppe (weil etwas niedrigere Berechtigung) und in einer eigenen OU für die Übersichtlichkeit. Das hat bei uns aber nix mit der Lizenzierung zu tun.