Active Directory Hierarchie

[Cyclisto 10]

Hallo MCSE Board Community,

 

ich lese hier bereits seit ein paar Jahren mit und habe hier schon extrem viel nützliches rausgezogen, muss nun aber selber einmal eine Frage abgeben.

 

Mein Name ist Stefan, ich bin Fachinformatiker im 4. Ausbildungsjahr in einem mittelständischen Unternehmen mit rund 400 Mitarbeiter. Wir sind insgesamt 8 ITler, sechs in Vollzeit, einer in Halbzeit und ein Student. Wir haben nur einen hauptamtlichen Systemadministrator und ich soll nun Schritt für Schritt an die Systemadministration herangeführt werden.

 

Nun zu meiner Thematik. In unserer Firma läuft Sun Solaris und endlich haben sich die Entscheidungsträger dazu durchgerungen, auf Microsoft umzuschwenken. Unser Admin hat mir seine Vorstellung vom Aufbau des ADs gezeigt und alle OUs liegen auf der ersten Ebene direkt unter der Root. Ich bin ja ein Fan von flachen Hierarchien, aber ist das wirklich sinnvoll?

 

Firma

|

--Abteilung 1

|

--Abteilung 2

|

--Abteilung n

 

Ich hoffe Ihr versteht mich!?

 

 

Könnt Ihr mir ein für und wieder nennen. Danke.

 

 

Grüße

Stefan

[Stefan W 14]

Hi Stefan

Das "für"

alle Abteilungen, ohne einmal auf Erweitern zu klicken :P

 

ein Wider kann ich dir auch nennen..

Sobald n>5 (was bei 400 Usern ja schnell so ist) wird es extrem unübersichtlich.

 

Du könntest es noch verschachteln.

 

zB

FQDN.domäne.name

Firmenname

PR

Vertriebsaussendienst

Marketing

Produktion

Unterabteilung1 der Produktion

Unterabteilung2 der Produktion

 

oder wie es halt für dich passt..

 

ps.:

Tabstops wie oben bekommst du mit [indent-] Text [/indent-] zusammen (ohne Strich natürlich)

[NorbertFe 2.104]

Dagegen spricht ganz klar der Mehraufwand bei Verwendung von gpos. Die müsstest du bei so einem Konstrukt nämlich entweder auf domänenebene verlinken damit sie für alle gelten ( was dann aber auch alle administrativen Konten per Default trifft), oder du musst die selbe gpo auf jede abteilungs-OU verlinken. Ich würde empfehlen mindestens eine zwischenebene (Firmenname) u.ä. Einzufügen und auf jeden fall Benutzerkonten und Computerkonten in eigenen Strukturen unterzubringen, und nicht tiefer als 3-4 Ebenen zu Strukturieren.

 

Grundsätzlich wird aber seine eigene Vorliebe haben. ;)

 

Bye

Norbert

[OliverHu 19]

Da kann ich Norbert nur zustimmen. Eine OU für die Firma, darunter Benutzer und Computer in separaten OUs, eventuell noch Gruppen in eine eigene. Das AD dient im eigentlichen Sinne nicht dazu, die Unternehmensstruktur nachzubilden. Du erhöhst den administrativen Aufwand nur unnötig. :)

[Cyclisto 10]

Danke für Eure fixen antworten.

 

Ihr würdet also nicht eigene OUs für Abteilungen anlegen und erst darin die OUs für Benutzer, Computer, Gruppen usw?

[OliverHu 19]

Ich nicht. Warum auch? Du kannst auch 400 Benutzer in einer OU verwalten, oder was spricht aus deiner Sicht dagegen?

[Stefan W 14]

Hi,

Ihr würdet also nicht eigene OUs für Abteilungen anlegen und erst darin die OUs für Benutzer, Computer, Gruppen usw?

Wir haben es so gemacht, da wir uns hier leichter tun.

 

Das ganze ist abhängig von der Sparte, und von den Unterschieden bei der PCnutzung zwischen den einzelnen MA.

 

Bei Abteilungs OUs kannst du zB das Laufwerksmapping via OU schön gestalten da du dir beim Verlinken wesentlich leichter tust.

 

Sinn macht das ganze jedoch nur, wenn das Unternehmen dazu passt

lg

Stefan

[OliverHu 19]

Moin!

Wir haben es so gemacht, da wir uns hier leichter tun.

Was soll daran leichter sein? ;)

 

Bei Abteilungs OUs kannst du zB das Laufwerksmapping via OU schön gestalten da du dir beim Verlinken wesentlich leichter tust.

Das kannst du auch bei einer einzelnen OU, mit Sicherheitsfilterung bzw. Zielgruppenadressierung in der GPO.

 

Ich erkenne immer noch keinen wirklichen Grund. Letztendlich ist es aber Geschmackssache ;)

[Stefan W 14]

Was soll daran leichter sein?

Ich glaube wir reden aneinander vorbei :)

bei uns ist

fqdn.domain

->firma

-->User

--->Abteilung-A

--->Abteilung-B

--->Abteilung-C

-->Computer

-->Gruppen

->Users(Builtin)

->Computers(Builtin)

->(andere Builtin)

 

ich hoffe nun verständlicher was ich meine :)

[OliverHu 19]

Ich könnte jetzt noch fragen, warum du unter der OU User noch Abteilungs-OUs hast und darüber diskutieren, aber ich glaube das ist nicht im Sinne des TO ;)

[Stefan W 14]

schick ich dir per PN ;)

lg

[NorbertFe 2.104]

Moin!

 

Was soll daran leichter sein? ;)

 

Es ist sofort ersichtlich, und nicht erst in der Ansicht der GPO bzw. der Sicherheitsfilterung. ;)

 

 

Ich erkenne immer noch keinen wirklichen Grund. Letztendlich ist es aber Geschmackssache ;)

 

Was ich bereits gestern Abend anmerkte. ;)

 

Bye

Norbert

[NorbertFe 2.104]

Ich könnte jetzt noch fragen, warum du unter der OU User noch Abteilungs-OUs hast und darüber diskutieren, aber ich glaube das ist nicht im Sinne des TO ;)

 

Relativ easy: Man kann Abteilungseinstellungen pro OU verlinken, anstatt auf User-Ebene um dann wiederum zu filtern (wie bei deinem Vorschlag). :p

 

Bye

Norbert

[Stefan W 14]

@Norbert:

Hast du den Inhalt der PNs zw Oli und mir gelesen? :P

Ziemlich gleich

[NorbertFe 2.104]

Nein, aber ich kenn die Diskussion zur Genüge :p