Daim 12 Geschrieben 11. Dezember 2010 Melden Teilen Geschrieben 11. Dezember 2010 Meines Wissens hat MS selbst eine einfachere Struktur ohne eigene Domäne pro Standort, sondern bloss regional, wobei Redmond eine eigene Region ist. :) Ich weiß was von acht Domänen weltweit und eine separate Gesamtstruktur für die Entwickler in Redmond. Deshalb erstaunt mich, dass München eine solche AD-Struktur empfiehlt, auch weil es ausreichend viele publizierte und interne AD Design Guides von MS gibt, in denen das Gegenteil nachzulesen ist. Manchmal habe ich den Eindruck, dass MSFT-DE andere Empfehlungen ausspricht als MSFT-US. :rolleyes: Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Dezember 2010 Melden Teilen Geschrieben 11. Dezember 2010 ... woher genau soll denn die Empfehlung von "MS München" gekommen sein? Habt Ihr dort einen Call aufgemacht, hattet Ihr einen Consultant bzw. generell einen strategischen Berater oder wurde der Hausmeister befragt? Selbst ohne die genauen Umstände einer eventuellen Anfrage zu kennen kann ich mir beim besten Willen kaum vorstellen, daß es eine solche Empfehlung gab. Multi-Domänen Modelle sind schon lange "out", wenn ich das einmal so generisch sagen darf. Welchen Vorteil soll denn eine solch Umständliche Anordnung genau haben? Wenn Ihr eine solche Empfehlung tatsächlich bekommen habt, auf welchen Entscheidungsgrundlagen beruhte diese? Ganz ehrlich? Hier paßt einiges nicht zusammen - holt Euch wie schon angesprochen jemanden ins Haus, der einen Plan hat und Euch beraten kann... Manchmal habe ich den Eindruck, dass MSFT-DE andere Empfehlungen ausspricht als MSFT-US. Warum auch nicht? Zum einen spielt immer ein Stück eigener Erfahrung des Ansprechpartners eine Rolle bei Empfehlungen, zum anderen ist neben dem Kunden selbst auch jeder Markt ein anderer. In den USA sind viele Firmen viel "schmerzfreier" als in Europa. Dadurch ergeben sich von Natur aus unterschiedliche Anforderungen oder Vorgehensweisen. Letztendlich sind Empfehlungen bei jedem Hersteller im Wortsinne eben keine Vorgaben. Ob eine Empfehlung für einen selbst sinnvoll ist oder nicht, muß man am Ende selbst entscheiden. Man muß sich also nicht jedem Vorschlag hingeben. Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 11. Dezember 2010 Melden Teilen Geschrieben 11. Dezember 2010 Moin, Ich war ja nicht dabei und kenn die Vorgaben nicht... dann wäre es nett, wenn du dich nächstes Mal mit solchen Behauptungen zurückhältst. Wenn ich überlege, was mir Kunden schon alles als "direkt von Microsoft genau so empfohlen" unterjubeln wollten ... und am Ende war es dann oft nur ein missverstandener Hinweis aus einem MOC-Seminar, dessen Trainer natürlich wie fast alle anderen MCTs nie bei Microsoft angestellt war. Kopfschüttelnd, Nils ... der von Kunden auch schon oft für einen Microsoft-Mitarbeiter gehalten wurde ... Zitieren Link zu diesem Kommentar
MuMichel 10 Geschrieben 12. Dezember 2010 Autor Melden Teilen Geschrieben 12. Dezember 2010 Hallo; also ganz ehrlich versteh ich die Aufregung nicht. Ihr urteilt sehr schnell... Das Modell hat schon seine Berechtigung; es geht dabei auch um verteile administration, Geheimhaltung usw. Ich kann Euch hier leider nicht alle internen Überlegungen offen legen. Wir gehören zu einem weltweit tätigen Konzern und bekommen von MS alle Unterstützung die man für Geld kaufen kann. Ich (und das ist meine tiefste Überzeugung) bin halt der Meinung, dass nur ein System dass ich selbst aufgebaut habe, ich auch bis ins letzte Detail verstehen. Darum ist eine Beratung für mich (wieder meine, vieleicht auch nur meine Meinung!) nur das letzte Mittel. Und wie auch immer man muss halt auch mal Sachen als gegeben hin nehmen. Ist ja schön, wenn Ihr in Firmen arbeitet, wo ihr immer Euere Vorstellungen umsetzen könnt. Wir müssen uns halt an Vorgaben, auch wenn Sie nicht immer logisch sind halten. Eigentlich war ja nur die Frage warum ADMT die Gruppen nur einmal migrieren kann.... bekommen doch diese jeweils pro Subdomäne eine andere SID. Ich komme aber langsam einer umsetzbaren Lösung näher. Gruß Michael Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 12. Dezember 2010 Melden Teilen Geschrieben 12. Dezember 2010 Ich (und das ist meine tiefste Überzeugung) bin halt der Meinung, dass nur ein System dass ich selbst aufgebaut habe, ich auch bis ins letzte Detail verstehen. Darum ist eine Beratung für mich (wieder meine, vieleicht auch nur meine Meinung!) nur das letzte Mittel. Beratung ist auch Wissenstransfer, was grundsätzlich nichts schadet. Man kann nicht immer ausschliesslich von sich selbst lernen. Ich masse mir an, wirklich sehr viel zu bestimmten Themen zu wissen. Trotzem ziehe ich für grössere Projekte immer wieder spezialisierte Berater hinzu, weil sie in mir weniger vertrauten Bereichen mehr Erfahrung haben oder um die eigenen Ideen einem Belastungstest zu unterziehen. Das ist für die Kunden gut, weil wir schneller, besser und kostengünstiger das Ziel erreichen, während wir uns weiteres Wissen aneignen können (aber nicht auf Kosten der Kunden). Wir sind ja ausschliesslich dem Wohl des Kunden verpflichtet. Noch bin ich keinem begegnet, der alles über alles weiss. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Dezember 2010 Melden Teilen Geschrieben 12. Dezember 2010 Hi, Das Modell hat schon seine Berechtigung; es geht dabei auch um verteile administration, Geheimhaltung usw. Ich kann Euch hier leider nicht alle internen Überlegungen offen legen.Wir gehören zu einem weltweit tätigen Konzern und bekommen von MS alle Unterstützung die man für Geld kaufen kann. Entgegen anfänglicher Dokumentation auch von Microsoft, ist die Sicherheitsgrenze eines AD der Forest, nicht die Domäne. Das ist nach meinem Kenntnisstand auch seit einigen Jahren bei Microsoft die Argumentation. Bei Trusts weitet sich diese Grenze je nach Konfiguration weiter aus, obwohl hier nur "eingeschränkt". Da also hinlängst bekannt ist, daß die Domäne keine Sicherheitsgrenze darstellt, also auch nicht für die domänenlokalen Administratoren, ist die Argumentation zur "Geheimhaltung" meiner Meinung nach nicht schlüssig. Ein Domänen-Administrator kann sich mit "geringen Mitteln" auch erweiterte Berechtigungen innerhalb des Forests erschleichen. Verteilte Administration erreicht man durch Delegierung, nicht durch Domänen. Selbst DNS Namensräume kann man berechtigungstechnisch delegieren. Die Aussage, daß Ihr alle MS Unterstützung, die man für Geld kaufen kann, bekommen würdet, beantwortet nicht die Frage, wer involviert war. Es macht einen Unterschied, ob Ihr Sales Mitarbeiter, Consultants oder Support Leute als Ansprechpartner hattet. Ich möchte an dieser Stelle noch einmal explizit betonen, daß 30 Subdomänen, die nach Standort eingerichtet werden, in den allermeisten Fällen nicht sinnvoll sind. Je nach Größenordnung des Unternehmes kann jedoch vielleicht eine Aufteilung nach Regionen sinnvoll sein, aler AMER, APAC, EMEA usw. Jedoch nicht aus "Sicherheitsgründen", wie oben schon angesprochen. Da Du den Fokus jedoch auf die Ursprungsfrage zurück lenken möchtest (was absolut in Ordnung ist), können wir das Desig-Thema wohl begraben. Ansonsten stimme ich Nils und dmetzger voll zu. Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 12. Dezember 2010 Melden Teilen Geschrieben 12. Dezember 2010 Moin, Ihr urteilt sehr schnell... nein. Nein, ganz und gar nicht. Das Modell hat schon seine Berechtigung Niemand hat abgestritten, dass auch komplexe Modelle ihre Berechtigung haben können. In den meisten realen Situationen treffen wir aber auf Umgebungen, in denen die Komplexität nicht nützlich, sondern hinderlich ist. Daher unsere Einwände. Wir sollten den Teil hier aber beenden, weil er zu nichts führt. Eigentlich war ja nur die Frage warum ADMT die Gruppen nur einmal migrieren kann.... bekommen doch diese jeweils pro Subdomäne eine andere SID. Das kann ich so direkt nicht beantworten, weil ich so ein Szenario in der Praxis noch nicht hatte. Meine Vermutung ist, dass dies absichtlich geblockt wird, um das durch SIDHistory entstehende Sicherheitsproblem nicht noch weiter zu vergrößern. Wir haben wir aber einen gangbaren Weg aufgezeigt. Daher weiß ich nicht, warum du noch weiter darauf rumreitest. Wenn der Weg nicht passt, ist die einzige sinnvolle Anlaufstelle für Fragen die Instanz, die euer Design entworfen hat. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.