- #1
S
sax553
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 25.03.2005
- Beiträge
- 127
- Reaktionspunkte
- 0
Hallo zusammen,
ich habe da mal eine Frage zu der Gestaltung der Struktur im Active Directory. Im Moment sind wir mit der momentanen Struktur nicht zufrieden, deshalb soll sie zur einfacheren Handhabung etwas umgebaut werden. Da ich in dem Bereich noch wenig Erfahrung habe dachte ich mir, bevor ich das Rad neu erfinde frage ich mal nach wie Ihr das so handhabt.
Hier zu den Gegebenheiten:
Wir haben (zum Teil) die Organisation im AD abgebildet, da diese aber nicht benutzt wird, wollen wir von dieser Struktur weg und das AD administrativ aufbauen.
Es gibt im Moment schon Gruppen die anfangen mit „APP“ für Zugriffe auf Anwendungen der Berechtigungen in Anwendungen. Die Berechtigung auf freigegebene Ordner werden über die Organisationsgruppen verteilt, dies soll aber weg, ich dachte da ehr an Gruppen die mit „SHARE“ beginnen und mit einer eindeutigen Bezeichnung enden. Es soll möglich sein, wenn man in die Gruppenliste eines Benutzers schaut auf einen Blick zu erkennen, worauf ein Benutzer Zugriff hat.
Wo ich mir noch nicht sicher bin sind die Gruppen die ich wählen kann. Ich möchte das klassische Microsoft Model (Benutzer in Globale Gruppe in Lokale Gruppe welche Berechtigungen bekommt) gerne vermeiden, da die Globale Gruppe mit dem Namen SHARE_Freigabe ja nur der Lokalen Gruppe LOCAL_SHARE_Freigabe angehören kann, ich kann mir also die Ebene mit dem LOCAL* sparen. Ich würde gerne Universelle Gruppen verwenden, da ich hier die meisten Möglichkeiten habe (Mitglieder, Verschachtelung, Sichtbarkeit in anderen Domänen).
Gruppenrichtlinien werden nicht genutzt. Im Moment werden alle Computereinstellungen im Image während der Installation mitgegeben und die Benutzereinstellungen werden per Registry Key im Anmeldescript gesetzt. Wenn wir aber Gruppenrichtlinien einsetzten würden, würden erstmal alle User die gleichen bekommen(nicht sonderlich komplex). Die Struktur sollte aber flexibel bleiben, um in Zukunft GPOs für mehrere Administrative OUs einzusetzen.
Im Moment gibt es noch ein paar wenige DCs in Außenstandorten, welche auch als File Server für Home- und Gruppenlaufwerke fungieren, dies soll aber abgeschafft und zentralisiert werden, kann also bei der Planung vernachlässigt werden.
So ich denke ich hab erst einmal einen groben Einblick gegeben was es gibt und in welche Richtung es gehen soll. Falls Ihr weitere Infos benötigt, einfach eben Bescheid geben. Für Anregungen und Verbesserungsvorschläge bin ich sehr dankbar.
Gruß Sax
ich habe da mal eine Frage zu der Gestaltung der Struktur im Active Directory. Im Moment sind wir mit der momentanen Struktur nicht zufrieden, deshalb soll sie zur einfacheren Handhabung etwas umgebaut werden. Da ich in dem Bereich noch wenig Erfahrung habe dachte ich mir, bevor ich das Rad neu erfinde frage ich mal nach wie Ihr das so handhabt.
Hier zu den Gegebenheiten:
Wir haben (zum Teil) die Organisation im AD abgebildet, da diese aber nicht benutzt wird, wollen wir von dieser Struktur weg und das AD administrativ aufbauen.
Es gibt im Moment schon Gruppen die anfangen mit „APP“ für Zugriffe auf Anwendungen der Berechtigungen in Anwendungen. Die Berechtigung auf freigegebene Ordner werden über die Organisationsgruppen verteilt, dies soll aber weg, ich dachte da ehr an Gruppen die mit „SHARE“ beginnen und mit einer eindeutigen Bezeichnung enden. Es soll möglich sein, wenn man in die Gruppenliste eines Benutzers schaut auf einen Blick zu erkennen, worauf ein Benutzer Zugriff hat.
Wo ich mir noch nicht sicher bin sind die Gruppen die ich wählen kann. Ich möchte das klassische Microsoft Model (Benutzer in Globale Gruppe in Lokale Gruppe welche Berechtigungen bekommt) gerne vermeiden, da die Globale Gruppe mit dem Namen SHARE_Freigabe ja nur der Lokalen Gruppe LOCAL_SHARE_Freigabe angehören kann, ich kann mir also die Ebene mit dem LOCAL* sparen. Ich würde gerne Universelle Gruppen verwenden, da ich hier die meisten Möglichkeiten habe (Mitglieder, Verschachtelung, Sichtbarkeit in anderen Domänen).
Gruppenrichtlinien werden nicht genutzt. Im Moment werden alle Computereinstellungen im Image während der Installation mitgegeben und die Benutzereinstellungen werden per Registry Key im Anmeldescript gesetzt. Wenn wir aber Gruppenrichtlinien einsetzten würden, würden erstmal alle User die gleichen bekommen(nicht sonderlich komplex). Die Struktur sollte aber flexibel bleiben, um in Zukunft GPOs für mehrere Administrative OUs einzusetzen.
Im Moment gibt es noch ein paar wenige DCs in Außenstandorten, welche auch als File Server für Home- und Gruppenlaufwerke fungieren, dies soll aber abgeschafft und zentralisiert werden, kann also bei der Planung vernachlässigt werden.
So ich denke ich hab erst einmal einen groben Einblick gegeben was es gibt und in welche Richtung es gehen soll. Falls Ihr weitere Infos benötigt, einfach eben Bescheid geben. Für Anregungen und Verbesserungsvorschläge bin ich sehr dankbar.
Gruß Sax
