AD Struktur

Dieses Thema AD Struktur im Forum "Windows Server-Systeme" wurde erstellt von sax553, 17. Nov. 2009.

Thema: AD Struktur Hallo zusammen, ich habe da mal eine Frage zu der Gestaltung der Struktur im Active Directory. Im Moment sind wir...

  1. Hallo zusammen,
    ich habe da mal eine Frage zu der Gestaltung der Struktur im Active Directory. Im Moment sind wir mit der momentanen Struktur nicht zufrieden, deshalb soll sie zur einfacheren Handhabung etwas umgebaut werden. Da ich in dem Bereich noch wenig Erfahrung habe dachte ich mir, bevor ich das Rad neu erfinde frage ich mal nach wie Ihr das so handhabt.
    Hier zu den Gegebenheiten:
    Wir haben (zum Teil) die Organisation im AD abgebildet, da diese aber nicht benutzt wird, wollen wir von dieser Struktur weg und das AD administrativ aufbauen.
    Es gibt im Moment schon Gruppen die anfangen mit „APP“ für Zugriffe auf Anwendungen der Berechtigungen in Anwendungen. Die Berechtigung auf freigegebene Ordner werden über die Organisationsgruppen verteilt, dies soll aber weg, ich dachte da ehr an Gruppen die mit „SHARE“ beginnen und mit einer eindeutigen Bezeichnung enden. Es soll möglich sein, wenn man in die Gruppenliste eines Benutzers schaut auf einen Blick zu erkennen, worauf ein Benutzer Zugriff hat.
    Wo ich mir noch nicht sicher bin sind die Gruppen die ich wählen kann. Ich möchte das klassische Microsoft Model (Benutzer in Globale Gruppe in Lokale Gruppe welche Berechtigungen bekommt) gerne vermeiden, da die Globale Gruppe mit dem Namen SHARE_Freigabe ja nur der Lokalen Gruppe LOCAL_SHARE_Freigabe angehören kann, ich kann mir also die Ebene mit dem LOCAL* sparen. Ich würde gerne Universelle Gruppen verwenden, da ich hier die meisten Möglichkeiten habe (Mitglieder, Verschachtelung, Sichtbarkeit in anderen Domänen).
    Gruppenrichtlinien werden nicht genutzt. Im Moment werden alle Computereinstellungen im Image während der Installation mitgegeben und die Benutzereinstellungen werden per Registry Key im Anmeldescript gesetzt. Wenn wir aber Gruppenrichtlinien einsetzten würden, würden erstmal alle User die gleichen bekommen(nicht sonderlich komplex). Die Struktur sollte aber flexibel bleiben, um in Zukunft GPOs für mehrere Administrative OUs einzusetzen.
    Im Moment gibt es noch ein paar wenige DCs in Außenstandorten, welche auch als File Server für Home- und Gruppenlaufwerke fungieren, dies soll aber abgeschafft und zentralisiert werden, kann also bei der Planung vernachlässigt werden.

    So ich denke ich hab erst einmal einen groben Einblick gegeben was es gibt und in welche Richtung es gehen soll. Falls Ihr weitere Infos benötigt, einfach eben Bescheid geben. Für Anregungen und Verbesserungsvorschläge bin ich sehr dankbar.

    Gruß Sax
     
  2. ##Es soll möglich sein, wenn man in die Gruppenliste eines Benutzers schaut auf einen Blick zu erkennen, worauf ein Benutzer Zugriff hat.##

    Das geht nicht mit Bordmitteln von Windows. Dazu brauchst du Drittanwendersoftware.

    ##Wenn wir aber Gruppenrichtlinien einsetzten würden, würden erstmal alle User die gleichen bekommen(nicht sonderlich komplex). Die Struktur sollte aber flexibel bleiben, um in Zukunft GPOs für mehrere Administrative OUs einzusetzen.##

    Falsch, dafür gibt es ja OU´s, damit du soviele GPO´s zuweisen kannst wie du willst.

    Meine grundsätzliche Antwort für dein Thema: Die gibt es nicht.
    Hierzu würde jeder eine eigene Meinung posten, ob es Sinn macht oder nicht kann keiner wirklich beurteilen. Du brauchst ein Domänenkonzept, welches du am Besten mit einem Dienstleister bei dir vor Ort durchsprichst. In deinem Fall ist es wirklich besser, da vor Ort detaillierter geplant werden kann. Es gibt einfach zu viele Möglichkeiten ein AD aufzubauen, und du musst auch die Zukunft in deinem Unternehmen berücksichtigen.
     
  3. Hi,

    ersmal danke für die schnelle Antwort.
    Ich glaube hier wurde einiges falsch verstanden.
    Wenn eine Gruppe zum Zugriff auf das Marketing Laufwerk auf Server3 in Köln berechtigt und der Name der Gruppe SHARE_KOL_Server3_Marketing ist, denke ich schon das man das auf einen Blick erkennen kann.

    Was ist daran Falsch wenn ich erstmal nur eine GPO benötige?? Der Zweck von OUs und GPOs ist mir schon klar, oder ist damit gemeit das wenn ich unterhalb der OU Org noch die OUs Marketing und Sales habe, das ich lieber die GPO auf Marketing und Sales setzt und nicht auf Org? ???

    Ich wollte ja auch nicht erreichen das ihr mit den Aufbau meiner Struktur abnehmt, sonder nur ein paar anregungen haben was man z.B beachten sollte oder wie Ihr das in eurem Unternehmen handhabt.
    Ich denke das der eine oder andere sicher mal vor änlichen dingen stand und ich würde gerne erfahren wie Ihr damit ungegangen seit und wie Ihr das gelösst habt. :)

    Gruß Sax
     
  4. Nur weil du siehst wer in einer kleinen Struktur in welcher OU ist, sagt nichts über die Berechtigung aus auf Dateiebene. Ich hab das so verstanden das du eine Übersicht der Benutzer haben willst, auf welche Dateien und Ordner sie Zugriff haben. Wenn natürlich alle die einem Laufwerk zugeordnet sind dort schreibrechte vererbt haben, ist das was anderes. Dann reicht dir die AD Ansicht. Sobald du aber im Laufwerk nur bestimmten Usern auf bestimmte Ordner zugriff gewährst, funktioniert das nicht mehr. Das ist auch in der Praxis so, deshalb brauchst du da Drittanbietersoftware.

    Wieviele GPO´s du brauchst hängt wiederum von der Anzahl der User, der AD-Struktur und der verschiedenen Sicherheitslevel ab.
    Das schöne an AD ist ja das du deine OU´s skalieren kannst. Berechtigen, vererben, ausschliessen, erzwingen usw. Sowas macht auch Sinn mit Unter-OU´s.

    Deswegen wieder zurück zum Anfang... Denkt euch ein für euch brauchbares Konzept aus, um Sicherheitsrichtlinien durchzusetzen und das ganze in einem administrativ verwaltbarem Rahmen laufen zu lassen.

    Mehrere OU´s haben Vorteile bei vielen Benutzern und verschiedenen Zugriffsrechten, aber auch für die Group-Policies die du damit verteilen kannst.

    Hast du aber 100 User, die alle nur ein Laufwerk und auf 1 Drucker zugreifen sollen, reicht natürlich eine OU aus. Nur brauchst du dann kein AD.

    Vielleicht verstehst du jetzt wie komplex das werden kann und jeder von uns eh seine eigene Lösung hat. Eben auf das jeweilige Unternehmen zugeschnitten.

    Das ist jetzt eine Menge Arbeit die auf dich zukommt, aber da musst du durch ;)
     
Die Seite wird geladen...

AD Struktur - Ähnliche Themen

Forum Datum
Archivieren ohne Ordnerstruktur Microsoft Office Suite 19. Okt. 2016
Verzeichnisstruktur verschwindet nach Umbennenen eines Ordners Netzwerk 31. Mai 2016
Ordnerstruktur im Explorer geht verloren Windows 7 Forum 12. Okt. 2015
Outlook 2010 - Ordnerstruktur mit Mails speichern (nicht als PST) Microsoft Office Suite 26. Jan. 2015
Heimnetzstruktur, wie ist's besser/richtig? Windows XP Forum 7. Aug. 2013