Planung Azure und AD

[xrated2 15]

Hi

mal angenommen es gibt ein AD mit User/Computer Objekten was hauptsächlich für GPO verwendet wird.

Nennen wir es einfach mal DomäneX.

 

Dann gibt es noch Benutzer in Azure (ohne payed Subscription) für Office365 mit komplett anderer Domäne DomäneY. Die Firma wurde umbenannt und musste die Domäne in Azure und Sharepoint ändern.

 

Wenn das Ziel ist, die lokalen Server komplett zu ersetzen und ca. 30-40 Laptops komplett in die Cloud zu bringen, wie würde man vorgehen? Über Zwischenschritt AD Azure Connect? Geht das, wenn auch noch der Prefix anders ist? In Azure ist der User nur mit Nachnahme hinterlegt nachname@DomäneY und in AD mit zusätzlich erstem Buchstaben vom Vornamen vnachname@DomäneX.

 

Oder gleich nach und nach jedes Laptop einzeln anfassen?

 

Sollte man die DomäneY onmicrosoft Domäne auch nochmal als Toplevel reservieren? Diese lautet Firmenname+gmbh weil Firmenname schon belegt war. Nach aussen zu Kunden wird aber nur "Firmenname" benutzt.

 

Das man die eMail Adresse nur mit Nachnamen anlegt hab ich mir nicht ausgedacht, der Chef wollte es haben und auch nicht ändern als es noch deutlich weniger User waren.

[testperson 1.534]

Hi,

 

da gibt es - meiner Meinung nach - absolut kein Patentrezept und das hängt hier extrem vom Einzelfall bzw. letztlich halt den zukünftigen Anforderungen ab. Was versprichst du dir denn davon, wenn du die Devices / User in die Cloud "gebracht" hast?

 

Gruß

Jan

[NilsK 2.785]

Moin,

 

Da sollte man sich in Ruhe zusammensetzen, die Anforderungen klären und dann planen. "Nur noch Cloud" etwa sagt sich leicht, ist aber selten einfach so umzusetzen.

 

Die technischen Details, die du aufzählst, sind eher Nebensache. In erster Linie ist das große Ganze und das Organisatorische zu klären.

 

Gruß, Nils

[Nobbyaushb 1.359]

Auch wenn es sich vielleicht d**f anhört - aber das ist kein Thema mehr für ein Forum

Ich würde mir den Rat eines externen Experten dazu holen, dann klappt das auch

Und wie die Vorredner schreiben - Anforderungen klären, groben Plan machen und das mit dem Dienstleister besprechen

Dürfte unter dem Strich deutlich günstiger werden als erst die Fehler zu machen...

Hier gibt es diverse Experten die das leisten können!

bearbeitet 9. Mai 2023 von Nobbyaushb

[xrated2 15]

vor 5 Stunden schrieb testperson:

Was versprichst du dir denn davon, wenn du die Devices / User in die Cloud "gebracht" hast?

 

 

Vor allem der Grund, weil alle Devices im AD hängen aber diese ausschließlich über VPN mit AD kommunizieren. Es gibt vor Ort, wo die Server sind, nur noch 1 PC. So macht das keinen Sinn.

VPN basiert auf SSTP und weil es kein Windows 10 Enterprise ist, musste ich mir damals wegen Corona selber auf die schnelle ein "Always On" VPN über Taskscheduler basteln. Und nach Corona arbeiten aber immer noch alle im Home Office bzw. an einem anderen Standort wo die IT fremd ist und nur WLAN zur Verfügung steht.

Dort Server hinstellen geht also auch nicht.

Ich habe bedenken das irgendein Windows Update diese VPN Funktionalität abschiesst. Ausserdem hat man mit der DSL Leitung einen Single Point of Failure.

Nächster Punkt, neue PCs kann ich nur im LAN installieren.

 

Der andere Punkt ist der, wenn ich alles in die Cloud bringen würde dann mache ich womöglich entbehrlich meinte der Chef. Die Firma hat sich nämlich mit anderen zusammengeschlossen und das könnte auch heissen das die IT zentralisiert wird. Böse böse das alles.

 

Mich hätte erstmal interessiert wie man da generell vorgeht, ohne konkret was zu machen. Also wie das aussehen würde. Nicht im Detail sondern nur als grober Ablauf.

bearbeitet 9. Mai 2023 von xrated2

[NilsK 2.785]

Moin,

 

Es ist in diesem Kontext doch völlig egal, wie da zugegriffen wird. Relevant ist, auf was die Anwender zugreifen, also was für Daten und Dienste sie brauchen.

 

Gruß, Nils

[cj_berlin 1.138]

Moin,

 

allein schon die Vorstellung, ein Technologiewechsel könnte mich und meinen Job entbehrlich machen, wäre für mich ein Grund, meinen Lebenslauf sofort auf Vordermann zu bringen.

 

Ansonsten, wenn die Leute ohnehin nur Cloud-Dienste nutzen, musst Du die Maschinen aus dem AD raus und ins Azure AD joinen, und die User melden sich ab dann mit ihrem Azure AD Account an. Wie technisch am besten, variiert je nachdem, was für Hilfsmittel Du on prem hast (laut Deinem Post scheinbar keine) und was in O365 vorhanden ist, also welche Lizenzen.

[xrated2 15]

vor 22 Stunden schrieb NilsK:

Moin,

 

Es ist in diesem Kontext doch völlig egal, wie da zugegriffen wird. Relevant ist, auf was die Anwender zugreifen, also was für Daten und Dienste sie brauchen.

 

Gruß, Nils

 

Die User greifen ja jetzt schon auf Sharepoint zu, dass ist nicht das Problem. Das Hauptding ist eigentlich wie das Userprofil am Windows Rechner, das jetzt in AD ist, zur Cloud kommt.

 

Müsste man dann als nächstes entweder Hybrid AD einrichten und in Intune das Autoenrollment festlegen oder für reines Azure AD den Rechner in der Company Portal App manuell registrieren? Gibts für letzteres irgendwas zum automatisieren?

bearbeitet 10. Mai 2023 von xrated2

[NorbertFe 1.805]

vor 5 Stunden schrieb xrated2:

Das Hauptding ist eigentlich wie das Userprofil am Windows Rechner, das jetzt in AD ist, zur Cloud kommt.

Das userprofil? Oder eher das Konto?

[cj_berlin 1.138]

vor 6 Stunden schrieb xrated2:

Das Hauptding ist eigentlich wie das Userprofil am Windows Rechner, das jetzt in AD ist, zur Cloud kommt.

https://learn.microsoft.com/en-us/sharepoint/redirect-known-folders oder USMT. 

 

Am besten, Du holst Dir jemanden an die Seite, der sowas schon mal gemacht hat, zumindest für ein Bainstorming. Du musst den gewünschten Endzustand formulieren und, wenn sich das irgendwie machen lässt, sollte dieser kein Active Directory mehr beinhalten. Aber das geht in einem freien, offenen Forum, wo leute in ihrer Freizeit helfen, einfach nicht.

[xrated2 15]

vor 3 Stunden schrieb NorbertFe:

Das userprofil? Oder eher das Konto?

Das Userprofil ist ja letztendlich ganz normal lokal gespeichert aber irgendwie mit dem Computerkonto von AD verknüpft.

Wenn man sich jetzt zb bei Windows mit vornamenachname@ad.firma.xy anmeldet und das o365 benutzerkonto nachname@newfirma.xy heisst, muss man dann womöglich noch das ganze Profil kopieren wenn es komplett in Azure sein soll?

 

Jemand extern zu holen wird schwer, wenn es aktuell nicht geplant ist und jede Menge anderer Sachen auf der Agenda stehen.

 

Ich bin mir auch sicher das es solche ähnliche Scenarien schon zig mal gab und gewisse Best Practices Artikel wie der typische Ablauf ist.

bearbeitet 10. Mai 2023 von xrated2

[q617 1]

Am 9.5.2023 um 12:52 schrieb Nobbyaushb:

Dürfte unter dem Strich deutlich günstiger werden als erst die Fehler zu machen...

Wo schreibt der OP was von Fehlern? also z.B. "vergessen, vorher ____ aufzuräumen", "vergessen, vorher Einstellung ____ zu prüfen"?

[cj_berlin 1.138]

vor 8 Stunden schrieb xrated2:

Ich bin mir auch sicher das es solche ähnliche Scenarien schon zig mal gab und gewisse Best Practices Artikel wie der typische Ablauf ist.

Gewiss. Aber Du hast noch kein Szenario. Du hast noch nicht einmal den gewünschten Endzustand formuliert, geschweige denn, dass wir den Ausgangszustand kennen würden.

 

Microsoft beschreibt in Learn/Docs mehrere Migrations-Teilpfade, so beispielsweise auch die Profilmigration, die ich oben zitiert habe. Aber es sind immer einzelne Schritte. Diese richtig zu kombinieren - dafür braucht man eben ein "Szenario". Und nein, es gibt kein "One Size Fits All" best practice. Relativ einig ist sich die globale Community darin, dass ein Hybrid Join viele Probleme aufwirft, aber keinen wirklichen Nutzen bringt. Aber auch das ist nur ein Puzzle-Stück von vielen.