surfacing 32 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 Hallo Freunde von Spiel, Spaß, Einsen und Nullen, ich bräuchte mal euer Wissen für eine Verständnisserklärung. Unsere Firma wurde gekauft und soll nun in ein neues Domänennetzwerk integriert werden, und es stellt sich für mich die Frage ob diese Aktion überhaupt Sinn macht, oder ob es nicht einfacher wäre mit der neuen Domäne einfach einen Trust einzugehen. Alte Domain: old.local neue domäne: new.konzern.local Konzerndomain: konzern.local Ziel ist es, dass es nur noch ein großes Firmennetzwerk gibt, welches untereinander verbunden ist und diverse Programme wie Exchange, Sharepoint und und ineinander greifen. Auch die Kommunikation unter den Server DNS; DHCP usw usw soll aus einem Guss kommen. Wir müssen jedoch JEDEN Rechner, Server usw usw. in die neue Domäne reindonnern, was auch bedeutet dass viele Programme oder Server Applikationen neu konfiguriert n, Benutzerkonten, und Dienstkonten neu angelegt werden müssen. Zu was würdet ihr raten, ab in die neue Domäne, oder die alte Domäne behalten und einen Trust mit der neuen Domäne eingehen? Ich bin auf eure Meinung gespannt. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 Wenn du dir nicht sicher bist, warum fragst du dann nicht die EDV Abteilung des Konzerns, der solche Forderungen stellt? Grundsätzlich ist ein externer Trust sicher fürs erste einfacher, aber auf Dauer einfach nur "nervig". Wenn du "Angst" hast, deine Unabhängigkeit zu verlieren, dann wirst du wohl nen neuen Job suchen müssen. Migrationstechnisch ist das "reindonnern" der Rechner in die neue Domain mit genügend Vorlauf und Planung relativ unkritisch, weils dafür genügend WErkzeuge gibt. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 Moin, ich stimme Norbert zu und ergänze: Bei solchen Fragen gibt es kein "richtig" oder "falsch", sondern es hängt davon ab, was man erreichen will. Damit ist das ein Thema, das für ein Forum nur sehr begrenzt geeignet ist. Wenn man eine integrierte Umgebung möchte, ist eine gemeinsame AD-Umgebung (einheitlicher Forest) dafür schon sehr sinnvoll. Wie dort das genaue Modell aussehen kann oder soll, ist eine separate Frage. Der Aufwand einer solchen Integration ist nicht ohne, aber durchaus zu leisten. Hier muss man dann eine Kosten-Nutzen-Betrachtung machen, die sinnvollerweise die Konzernmutter anstellt (und die nicht "mal eben" fertig ist). Gruß, Nils Zitieren Link zu diesem Kommentar
surfacing 32 Geschrieben 2. August 2013 Autor Melden Teilen Geschrieben 2. August 2013 (bearbeitet) Mir geht es nicht um "Angst" oder dergleichen, die Migration ist auch schon erledigt und abgeschlossen. Natürlich habe ich auch die Meinung der IT Leitung mir angehört, fand es jedoch für mich nicht 100% schlüssig. Jedoch wollte ich mir einfach persönlich von anderen IT Profis ihre Meinung hören, welche sowas schon mal mit gemacht bzw. öfters machen. Danke Norbert und Nils für deine Antwort. bearbeitet 2. August 2013 von surfacing Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 (bearbeitet) Hallo, der CEO der Mutter war bei uns zur Besichtigung, wollte sich im Büro unseres Leiters an einem Rechner anmelden wie daheim in seinem Büro, es funktionierte natürlich nicht, da er den Schalter für die Domäne nicht umstellte auf "Mutter", der war nicht sichtbar und von dem wusster er auch nichts, unser Leiter auch nicht. Grosse Blamage, grosse Panik, grosser Anschiss waren die Folgen. Ein Ein-Domänen-Modell gilt wohl als eine gute, möglicherweise die bessere Lösung als andere, z.B. die Benutzerverwaltung an zentraler Stelle eventuell auf Anweisung einer Personalverwaltung. Es ist wohl natürlich, eine "übergeordnete" IT und deren Leiter wollen eine aufgekaufte Einheit sich einverleiben, sich zu vergrössern, damit den eignen Etat und die eigene Bedeutung zu steigern, weiter kann man sich mit solcher Integration richtig schön profilieren, z.B. mit dem Senken der Kosten. Und dann gibt es da noch den Wunsch der Vereinheitlichung, nach Einfachkeit, nach leichtem Überblick, man findet das einfach besser. DHCP und DNS aus einem Guß? Na schön, wir müssen das nicht um des Kaiser Bart streiten, sind in Wirklichkeit wohl nur nebensäche Dinge, vorgeschobene Schlagwörter. Natürlich machen das die Leute aus der Zentrale, die planen das jedenfalls. bearbeitet 2. August 2013 von lefg Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 Hallo, Man sollte bedenken, dass sich in einem Forest jeder Domainadmin relativ leicht zum Enterpriseadmin aufschwingen und damit überall hingreifen kann. Man muss seinen Domainkollegen des einheitlichen Forests also vertrauen, denn In manchen Umgebungen nimmt die Rolle Domainadmin auch schonmal ein externer Kollegen war. Das ist so mein Argument gegen einen Forest mit zu vielen Domänen. Vorteile bietet ein Forest natürlich auch viele Carnivore Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 (bearbeitet) Das ist so mein Argument gegen einen Forest mit zu vielen Domänen. Vorteile bietet ein Forest natürlich auch viele Es wäre in diesem Fall ja kein Forest, oder? Die übergeordnete IT wird wohl keine Argumente für oder wider hören wollen, sehr wahrscheinlich ist die Sache längst entschieden, war sie schon vor dem Gespräch mit dem Admin der aufgekauften Einheit. Eine Frage oder zwei könnten sein, welchen Einfluss kann die IT der Mutter auf die Tochter ausüben und welche Befugnis hat sie gegenüber der Tochter und dessen Admin? Bekommt der Admin künftig die Anweisungen nicht mehr von seinen Leuten oder bekommt er sie von der Zentrale? Ist das tatsächlich angewiesen von jemanden der das darf, verbindlich, schriftlich? bearbeitet 2. August 2013 von lefg Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 (bearbeitet) das bezog sich auf die Aussage weiter oben, dass "ein Forest sehr sinnvoll" sei. Administrationstechnisch ja, sicherheitstechnisch zumindest nicht pauschal bearbeitet 2. August 2013 von carnivore Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 2. August 2013 Melden Teilen Geschrieben 2. August 2013 Der Forest ist die sicherheitsgrenze und nicht die Domains. Ist ausreichend dokumentiert. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. August 2013 Melden Teilen Geschrieben 3. August 2013 (bearbeitet) Danke dafür Norbert. Bitte nochmals zum Mitmeißeln für jemanden wie mich: Zwei Domänen in einer Vertrauensstellung bilden einen Forrest? bearbeitet 3. August 2013 von lefg Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 3. August 2013 Melden Teilen Geschrieben 3. August 2013 Hi, schau mal hier: http://technet.microsoft.com/en-us/library/cc759073%28v=ws.10%29.aspx#w2k3tr_logic_what_ovkc Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. August 2013 Melden Teilen Geschrieben 3. August 2013 Danke Jan, das ist kurz und gut. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 5. August 2013 Melden Teilen Geschrieben 5. August 2013 Moin, das bezog sich auf die Aussage weiter oben, dass "ein Forest sehr sinnvoll" sei. Administrationstechnisch ja, sicherheitstechnisch zumindest nicht pauschal bitte richtig zitieren. Da stand: Wenn man eine integrierte Umgebung möchte, ist eine gemeinsame AD-Umgebung (einheitlicher Forest) dafür schon sehr sinnvoll. Wie dort das genaue Modell aussehen kann oder soll, ist eine separate Frage. Von pauschal ist da ja nun ausdrücklich nicht die Rede. Außerdem bezog ich mich auf einen einheitlichen Forest - im (impliziten) Gegensatz zu einem Modell mit externen Vertrauensstellungen. Da auch eine Einzeldomäne ein Forest ist, war mein Hinweis gerade nicht als Empfehlung eines Mehrdomänenmodells zu verstehen. Daher ja auch der direkt folgende Satz, der das genaue Modell als separate Frage kennzeichnet. Ob zum Beispiel die Sicherheitsfrage überhaupt eine Frage ist, hängt wesentlich vom organisatorischen Aufbau ab. Aber, wie gesagt, inhaltlich verlassen wir damit den Bereich, der in einem Forum sinnvoll zu behandeln ist. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.