MarWue 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Hallo zusammen, kann man einen DC aus der OU "Domain Controllers" im AD ohne Probleme in eine andere OU verschieben? Oder gibt es dann Probleme? Gruß Marco Zitieren
Daim 12 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Moin, kann man einen DC aus der OU "Domain Controllers" im AD ohne Probleme in eine andere OU verschieben? ich weiß nicht ob du das kannst :p . Oder gibt es dann Probleme? Das wäre eher nicht zu empfehlen. Besser wäre es die DCs in der vorgesehenen OU "Domain Controllers" zu belassen. Denn z.B. die GPO "Domain Controllers Policy" ist standardmäßig mit der OU=Domain Controllers verknüpft. Das zwar zu ändern stellt kein großes Problem dar, aber es könnten noch andere Dinge dranhängen. Daher meine Empfehlung, belasse die DCs dort wo sie sind. Zitieren
Velius 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Nur zur Info: Es geht, wenn man die von Daim geschilderten Bedingungen berücksichtigt (verlinkte GPOs). Wenn du dir nicht sicher bist was du tust, dann lass es besser so sein.;) Zitieren
lefg 276 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Wozu sollte das Verschieben gut sein? Zitieren
Velius 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Wozu sollte das Verschieben gut sein? Verschiedene Controller = verschiedene zusätzkliche GPOs? Zitieren
lefg 276 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Klar, es ist Frage, was soll erreicht werden, welche Wege zum Ziel sind möglich? Ersteres kann wohl nut der Threadowner beantworten. Kann man in der OU Domänencontrollers weitere "Sub-OUs" anlegen und so eine Differenzierung vornehmen? Zitieren
Daim 12 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Kann man in der OU Domänencontrollers weitere "Sub-OUs" anlegen und so eine Differenzierung vornehmen? Ja, dass könnte man, wenn man die Vererbung dann noch deaktiviert. Zitieren
MarWue 10 Geschrieben 13. September 2007 Autor Melden Geschrieben 13. September 2007 Das verschieben brauche ich weil ich Verschiedene Controller mit verschiedenen GPOs habe! Wenn das funktioniert das man eine unter OU anlegt und die Veerbung deaktiviert ist mir damit schon geholfen. Zitieren
Velius 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Ja, dass könnte man, wenn man die Vererbung dann noch deaktiviert. Wieso das? Man kann auch die Default Domain Controllers belassen und neue zusätzliche GPOs an die Unter OUs binden. Zitieren
Daim 12 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Wieso das? Wenn z.B. zusätzliche GPOs existieren, die lediglich DC1 in der OU=Domain Controllers betreffen sollen - aber nicht DC2 in der unter OU. Man kann auch die Default Domain Controllers belassen und neue zusätzliche GPOs an die Unter OUs binden. Im Standardfall - ja. Zitieren
Velius 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Wenn z.B. zusätzliche GPOs existieren, die lediglich DC1 in der OU=Domain Controllers betreffen sollen - aber nicht DC2 in der unter OU. Ok, ich seh die Idee - ich wär jetzt davon ausgegangen alle DCs in Sub OUs zu verschieben. Zitieren
blub 115 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 aus der Technet active directory -> windows 2000 Server -> best practice Guide -> Chapter 5 - Establishing Secure Administrative Practices Important Do not move any domain controller accounts out of the default Domain Controllers OU, even if some administrators log on to them to perform administrative tasks. Moving these accounts will disrupt the consistent application of domain controller policies to all domains. an anderen Stellen wird ebenfalls davon abgeraten, da z.B. Monitoring-Tools die DCs an der default OU erwarten und suchen Ich habe noch kein Designpapier gelesen, in dem DCs in verschiedene OUs verschoben werden. Alleine aus Supportgründen würde ich solche exotischen Sonderlocken tunlichst vermeiden, auch wenn sie im ersten Augenblick funktionieren und scheinbar Vorteile bieten. Man steht mit derartigen Lösungen bzw. den resultierenden Problemen wörtlich schnell "alleine auf der Welt da" cu blub Zitieren
Daim 12 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 Dem kann ich nur zustimmen. Im übrigen ist das seitens Microsoft kein "Best Practise" und wird auch nicht supportet. Zitieren
Velius 10 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 @blub Das funktioniert zumindest bei uns problemlos. Was die Monitoring Tools betrifft: MOM hat ein PRoblem damit, aber nur weil er default da sucht. Man kann das aber auch problemlos anpassen. Ist also als Empfehlung zu vertstehen, nicht mehr. Zitieren
blub 115 Geschrieben 13. September 2007 Melden Geschrieben 13. September 2007 @velius vielleicht kommt mein Post auch etwas zu hart rüber. Ich will nur generell empfehlen, sich ein solches Design gründlich zu überlegen bzw. die Vor- und Nachteile gegeneinander abzuwägen. Ich bin mir sicher, dass ihr das ausgiebig gemacht habt cu blub Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.