Jump to content

Shared AD Modell


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen, 

 

ich habe hier mal eine Frage. Unsere Firma ist ein HostingUnternehmen. Aktuell betreuen wir 1 großen Kunden mit eigenem AD und Exchange. In Zukunft sollen neue Kunden hinzu kommen. Hierfür soll ich mir eine Art Shared AD Modell überlegen. 1 AD mit mehreren Kunden. Unsere Admins sollten einmal im AD angelegt werden und immer Adminzugriff auf die jeweilige Kundendomain bekommen. Hat einer von euch schon so ein Modell aufgebaut? Wie sind eure Erfahrungen? Wie sieht es mit dem Thema Security aus? Ich lebe ja eher nach dem Motto keep it simple... Von den Lizenzkosten her sollte es so billig wie möglich sein was ja bei einem Ein Domain Modell pro Kunde nicht möglich ist. Einen Shared Exchange sollten wir ebenfalls aufsetzen.

 

Vielen Dank schon mal für euren Rat!

 

Gruß,

Patrick

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

kurze Antwort: Der Gedanke ist naheliegend, aber vergiss es.

 

Längere Antwort: Weder das AD noch Exchange sind wirklich für so ein Mandantenmodell geeignet. Man müsste derart viel in den Berechtigungen des AD und von Exchange ändern, dass die Umgebung kaum noch verwaltbar ist. Zudem befindet man sich sehr schnell in einem Zustand, der von Microsoft nicht mehr supported wird.

Du müsstest ein AD bauen, in dem User eines Kunden die User anderer Kunden nicht "sehen" können. Das erfordert sehr komplexe Berechtigungen, die teilweise für jedes Objekt neu gesetzt werden müssten. Da Exchange sich seit einigen Jahren nicht mehr an die AD-Berechtigungen hält, müsstest du das für Exchange dann noch mal separat machen. Mit sehr viel Aufwand bekommt man das zwar technisch hin, es ist dann aber sehr wahrscheinlich, dass viele Programme und Funktionen nicht richtig damit klarkommen.

 

Die meisten Hoster haben das auch festgestellt und arbeiten daher tatsächlich mit einer Umgebung pro Kunde. Bezüglich der Lizenzkosten macht das meines Wissens kaum einen Unterschied: Da man hier mit SPLA-Lizenzierung arbeiten muss, ist die Zahl der User das Kriterium, die Serverlizenzen fallen dann kaum noch ins Gewicht.

 

Ich habe das mit mehreren Kunden durchevauliert, die haben sich alle für das simple Modell "eine Domain pro Kunde" entschieden. Für die Administration könnte man sich dann überlegen, eine zentrale Admin-Domain zu bauen, die die Adminkonten hält und per Trust auf die Kundendomains zugreift. Das hat aber Sicherheitsimplikationen, die man auch sorgfältig durchdenken sollte.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...