Anubis2k 14 Geschrieben 9. Mai 2023 Melden Teilen Geschrieben 9. Mai 2023 Hallo zusammen, unsere Mühlen im Unternehmen mahlen relativ langsam, aber ich hätte mal zwei kleine Fragen... das eine ist eine Verständnis Frage, bei dem anderen Thema geht es eher um eure Erfahrungen und Tipps :) Frage 1, Kollege und ich haben in den letzten Wochen unsere DCs auf Windows Server 2019 aktualisiert. Nun haben wir in der vergangenen Woche unseren primären DC01 aktualisiert, und als wir diesen kurzzeitig aus geschaltet hatten, war überall das Internet weg. Verständlich, unser DC01 ist der bevorzugte DNS. Aber, hätte nicht der in den Clients hinterlegte alternative DNS (unser DC02) einspringen müssen? DC01, bevorzugter DNS = IP von DC02, alternativer DNS = 127.0.0.1 DC02, bevorzugter DNS = IP von DC01, alternativer DNS = 127.0.0.1 Clients, bevorzugter DNS = IP von DC01, alternativer DNS = IP von DC02 Frage 2, hierbei handelt es sich wohl eher um ein Philosophisches Thema... Bezeichnungen von Sicherheitsgruppen für Freigaben auf einem Fileserver. Aus historischer Sicht haben wir in der AD eine OU "Freigabegruppen" und darin sind alle Sicherheitsgruppen. Wenn man jetzt auf dem File Server folgenden Verzeichnispfad hat, - \\server\global\Standort\Einkauf\Ordner01\Unterordner01 - \\server\global\Standort\Verkauf\Ordner01\Unterordner01 - \\server\global\Standort\Sonstige\Ordner01\Unterordner01 die Kollegen aus dem First Level Bereich haben es die letzten Jahre immer wie folgt gemacht, - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RO - Sicherheitsgruppe, Name = Global_Standort_Einkauf_Ordner01_Unterordner01_RW dank den Kolleginnen und Kollegen kann so eine Struktur (leider) noch tiefer gehen und dementsprechend werden die Namen länger und viel spannender ist die Berechtigung wie sie vergeben werden. ---- Unterordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Ändern" Berechtigung) --- Ordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) -- Einkauf (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) - Standort (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Leserechte", nur dieser Ordner) Als ich die Kolleginnen und Kollegen fragte ob es da keinen eleganteren Weg gibt, hatte keiner eine Idee und dadurch das es immer so gemacht wurde, hat man das auch so weiter geführt. Gibt es hier ein "Best Practice" wie man so etwas am sinnvollsten oder elegantesten löst? Die Struktur ganz flach halten ist keine Lösung, auch wenn wir die IT sind und es vorschreiben könnten, muss hier ein gesunder Mittelweg gefunden werden, denn nur weil wir etwas vorschreiben muss es nicht sein das wir Recht bekommen. Wenn mehrere 100 Mitarbeiter der Geschäftsführung sagen dass das nicht passt, wird man uns schon sagen wo der Hase lang läuft ;) Eventuell arbeitet man hier in der AD auch mit OUs anstelle von super langen Gruppen Namen und bei den Berechtigungen selbst am Fileserver macht man das auch irgendwie anders. So... ich hätte mich gerne kürzer gefasst um es einfacher zu machen, aber ich habe versucht diverse Infos zu geben und hoffe das es da eventuell ein paar Ideen oder Ansätze gibt. Gruß, Dominik Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 9. Mai 2023 Melden Teilen Geschrieben 9. Mai 2023 Hat der 2. DC einen Forwarder eingestellt, der ihm erlaubt, Internet-Adressen aufzulösen? Apropos: Moderne Windows-Versionen (seit Windows 7, wenn ichj es richtig im Kopf habe, vielleicht sogar Vista) agieren nicht mehr mit "primärem" und "alternativem" DNS-Server, sondern fragen beide an und verwenden beide Antworten, wenn sie ohne allzu großen zeitlichen Abstand kommen. Zitieren Link zu diesem Kommentar
Anubis2k 14 Geschrieben 10. Mai 2023 Autor Melden Teilen Geschrieben 10. Mai 2023 (bearbeitet) Moin, DNS Technisch kenne ich es auch so dass er so etwas wie eine Art Round-Robin macht und nimmt was er bekommt. Da sind wir mal drauf gekommen, weil ich bei mir zuhause aufgrund von Hardware, Virtualisierung etc. zwei Pi-Hole eingesetzt habe und dann jemand sagte das sie identisch konfiguriert sein sollten, nicht dass immer eine der Fragen schief geht weil Windows sich einfach einen aussucht. ABER der Tipp mit dem "Forward" ist gut... sehr gut sogar! Ich glaube die sollte ich noch mal prüfen. Wir haben zwar noch mal zu zweit und zu dritt geschaut, aber ich glaube DEN TEIL haben wir nicht berücksichtigt. Nachtrag: Also das Forwarding war auf einem der DCs nicht drin, dass haben wir korrigiert. Was uns aber eingefallen war, auch interne DNS Auflösung hatte nicht geklappt! Und das hätte theoretisch klappen müssen. bearbeitet 10. Mai 2023 von Anubis2k Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 10. Mai 2023 Melden Teilen Geschrieben 10. Mai 2023 vor 19 Stunden schrieb Anubis2k: dank den Kolleginnen und Kollegen kann so eine Struktur (leider) noch tiefer gehen und dementsprechend werden die Namen länger und viel spannender ist die Berechtigung wie sie vergeben werden. ---- Unterordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Ändern" Berechtigung) Das ist das gleiche Grundproblem wie in dem anderen Thread, wo's um Auditing ging. Entweder Du hast sehr granulare ACLs, die dafür entsprechend klein sind. Dann ist der User in sehr vielen Gruppen. Oder Du machst es etwas "relaxter" mit weniger Gruppen, hast dafür aber sehr große ACLs. Gibt kein globales "mach mich glücklich"-Rezept dafür, das ich kenne. Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 12. Mai 2023 Melden Teilen Geschrieben 12. Mai 2023 Ich sag mal wie wir es machen ... wir berechtigen keine Unterordner! Wir haben Department Verzeichnisse und dann entsprechende Projekt/Prozess und Arbeitsverzeichnisse - jeweils mit entsprechenden RW und RO Gruppen. Fertig! Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 13. Mai 2023 Melden Teilen Geschrieben 13. Mai 2023 vor 22 Stunden schrieb Squire: Ich sag mal wie wir es machen ... wir berechtigen keine Unterordner! Wir haben Department Verzeichnisse und dann entsprechende Projekt/Prozess und Arbeitsverzeichnisse - jeweils mit entsprechenden RW und RO Gruppen. Fertig! Es kann jeder berechtigen wie er möchte. Ich habe schon einige große Umbauprojekte begleitet oder geplant. Eine rein einflächige Struktur Organisation hätte bisher nirgendwo Sinn ergeben. Am 9.5.2023 um 21:20 schrieb Anubis2k: Gibt es hier ein "Best Practice" wie man so etwas am sinnvollsten oder elegantesten löst? Es gibt hier keine geschriebenen Gesetzte. Aus der Erfahrung heraus sind 3 Ebenen gut handlebar, auch bei größeren Firmen. Hier sollte man sich dann selbst Grenzen setzen, sonst ufert das aus. Passt etwas nicht, dann muss es halt eine Ebene noch oben gezogen werden. Wichtig ist hier konsequentes Handeln und kein so lala.. "lala.. Berechtigen" ist der Grund warum dann nach Jahren wieder Dienstleister Geld verdienen dürfen 1 Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 13. Mai 2023 Melden Teilen Geschrieben 13. Mai 2023 vor 6 Stunden schrieb MurdocX: Es kann jeder berechtigen wie er möchte. Ich habe schon einige große Umbauprojekte begleitet oder geplant. Eine rein einflächige Struktur Organisation hätte bisher nirgendwo Sinn ergeben. hm ... Deine Meinung - bei uns funktioniert das seit Jahren weltweit sehr gut und wir haben mehr als ein paar User Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 13. Mai 2023 Melden Teilen Geschrieben 13. Mai 2023 vor 43 Minuten schrieb Squire: hm ... Deine Meinung - bei uns funktioniert das seit Jahren weltweit sehr gut und wir haben mehr als ein paar User Jo, ich wollte es auch nicht schlecht reden. Das mag bei euch passen und funktionieren. Ich habe schon so einige Konstrukte gesehen die auch "funktioniert" haben, bis sie halt an Ihre grenzen kamen. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 Einen gewissen Spielraum habt ihr ja. Wenn ihr es durchsetzen könnt, dass ein Naming-Schema eingehalten wird, dann könnte man doch für das Anlegen eines solchen Projekts (oder wie man so einen Unterordner nennen mag) doch ein kleines auf euch zugeschnittenes Powershell-Modul tippseln. Mit der Funktion im Modul erstellt ihr dann mittels der getätigten Angaben die AD-Gruppen, die entsprechenden Ordner und Unterordner und setzt auch gleich die entsprechenden Berechtigungen. Gerade für solche Fälle wo das ganze ständig wiederkehrend ist, spart das unglaublich Zeit. Wie immer steht und fällt eine solche Automatisierung aber mit dem einhalten eines Systems. Änderungen/Erweiterungen an der Struktur sollten dann auch wieder möglichst automatisiert gemacht bzw. möglichst vermieden werden. Sind Projekte zu unterschiedlich, hat es sich an anderer Stelle bewährt, eine Art Projektbeschriebdatei zu erstellen mit den Einstellungen. Also in diesem Fall ein Modul mit den Funktionen und eines welches die Struktur/den Tree und die Zugrifssrechte beschreibt und mit diesen Infos die entsprechenden Funktionen aufruft und wiederum die Ordner erstellt/Berechtigungen setzt. Das ganze kann man dann mit allerei Überprüfungen und Logs ausschmücken. Halt je nach dem was gefragt ist. Erfahrungsgemäss lohnt es sich, die Logs und Überprüfungen möglichst von Anfang und nicht erst im Nachhinein einzubauen. ;) Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 4 Stunden schrieb Weingeist: Wie immer steht und fällt eine solche Automatisierung aber mit dem einhalten eines Systems. Unterschreibe ich zu 100%... Wir entwickeln grad ne AD-Migration für Gruppen. Die können "eigentlich" nur über eingeschränkte Werkzeuge nach definierten Schemata angelegt/verwaltet werden. Und sogar da stolpern wir über Quirks Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 23. Mai 2023 Melden Teilen Geschrieben 23. Mai 2023 Moin, ich sag es jetzt mal noch allgemeiner altersweiser: wie immer in organisatorischen Fragen sollte man sich nicht der Illusion hingeben, dass man den einen Weg findet, der für alle Zeiten passt. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.