Restrukturierung AD

[Daniel Kugler 10]

Servus zusammen,

ich habe eine Domäne in der die Struktur des Active Directory völlig "sinnfrei" und kompliziert ist.

Es gibt 6-7 Ebenen der OU's was gar nicht nötig ist. Es sind ca. 200 User Accounts. Als DC'S kommen nur Server 2012 zum Einsatz.

Mit der Einführung einer neuen Software wird die Struktur des AD übernommen. Ich würde gerne vorher noch das

AD einfacher gestallten. Eine Idee der Zielstruktur ist schon vorhanden.

Ziel soll es sein die Skalierung der Domäne besser durchführen zu können (ggf. Abkapselung eines Standortes) und flache Hiraschien einzuführen.

Hat jemand Erfahrung mit einem solchem Projekt und kann aus dem Nähkästchen plaudern wo schöne Stolpersteine liegen können. Wie Ihr euch auf solch ein Projekt vorbereiten würdet oder habt. Gibt es gute Whitepapers hierzu? ADMT scheint der richtige Weg zu sein.

 

Es ist ein kritisches aber notweniges Projekt und ich möchte so sicher wie möglich dies bewältigen.

bearbeitet 5. Januar 2015 von Daniel Kugler

[Dukel 451]

Wie kommst du auf ADMT?

"Einfach" die neue Struktur im AD aufbauen, Konten und andere Objekte verschieben und die alte Struktur danach löschen.

Vorher gut testen und ein Backup sind wichtig.

[Dunkelmann 96]

Moin,

 

im Prinzip kannst Du im bestehenden AD eine neue OU Struktur aufbauen, die GPOs entsprechend verknüpfen, ggf. Delegierung/Rechte einrichten und dann die Objekte in die neue Struktur verschieben.

Du kannst auch ganze OUs mit deren Objekten inkl. GPOs, Delegierung usw. verschieben.

 

Das AD umsortieren ist im Grunde recht einfach.

Eventuell gibt es Anwenungen, die per LDAP Abrage zugreifen. Die müssen ggf. angepasst werden.

bearbeitet 5. Januar 2015 von Dunkelmann

[Daniel Kugler 10]

Danke für eure Hinweise. Manchmal ist es viel einfacher als man denkt :jau:

[lefg 276]

Was mag sich der Einrichter der OU-Struktur gedacht haben? Wollte er etwas abbilden?

 

Prinzipiell kann der Administrator es machen wie er es will, er kann die Unternehmensstruktur abbilden oder Gebæude, Etagen, Ræume. Ob das aber Sinn macht in allen Einzelheiten und Ebenen?

bearbeitet 6. Januar 2015 von lefg

[daabm 1.348]

Edgar, genau das (Unternehmensstruktur) ist sinnlos... OUs dienen der Organisation des AD und nicht der Organisation des Unternehmens :D

 

Dieses Mißverständnis existiert von Anfang an und ist der unglücklichen Übersetzung von "Organizational Unit" geschuldet - sinngemäß müßte das nämlich "Organisierungseinheit" heißen, das träfe den Verwendungszweck besser.

[zahni 550]

Nun ja, prinzipiell würde das schon gehen. Leider klaffen da div. Lücken (z.B. keine Möglichkeit der Vergabe von Berechtigungen auf OUs), so dass es sich sinnvoll nur für Gruppenrichtlinien einsetzen lässt. 

[lefg 276]

Ja Martin, ich weiss es, deshalb ja mein fragender Einleitungssatz. :)

[NorbertFe 2.027]

Edgar, genau das (Unternehmensstruktur) ist sinnlos... OUs dienen der Organisation des AD und nicht der Organisation des Unternehmens :D

 

Dieses Mißverständnis existiert von Anfang an und ist der unglücklichen Übersetzung von "Organizational Unit" geschuldet - sinngemäß müßte das nämlich "Organisierungseinheit" heißen, das träfe den Verwendungszweck besser.

Ich hatte zu Windows 2000 Zeiten allerdings auch schon ein Buch, in dem sinngemäß der Satz stand: "Versuchen Sie bitte nicht die Organisationsstruktur im AD abzubilden. Dazu gibt es bessere Werkzeuge wie bspw. Visio". ;)

 

Bye

Norbert

[lefg 276]

Nun, man könnte es aber, (ich meine, es aus einem Buch oder Artikel auch so in Erinnerung von damals) und es könnten sich wohl Admins davon (ver)leiten lassen haben.

bearbeitet 6. Januar 2015 von lefg

[daabm 1.348]

"Versuchen Sie bitte nicht die Organisationsstruktur im AD abzubilden. Dazu gibt es bessere Werkzeuge wie bspw. Visio". ;)

 

Du hattest nicht nur ein Buch, Du hast es sogar gelesen und verstanden :-))

 

man könnte es aber

Daß man etwas kann, heißt nicht, daß man es auch tun sollte. Darüber sind wir uns sicher einig.

 

@Zahni: Deinen Post verstehe ich nicht...

bearbeitet 6. Januar 2015 von daabm

[NorbertFe 2.027]

Du hattest nicht nur ein Buch, Du hast es sogar gelesen und verstanden :-))

Ja, hab ich da was falsch gemacht? ;)

 

Bye

Norbert

[Daniel Kugler 10]

Ich denke der Ersteller dieser Struktur wollte bis ins kleinste Detail die Unternemensstruktur nachbauen.

Für Ihn war es auch sicherlich sinnvoll, sons hätte er es ja nicht gemacht. Dieser Admin ist aber schon

lange aus dem Unternehmen raus.

 

Ich muss halt jetzt entscheiden wie flach die Hierarchien werde sollen.

[lefg 276]

Ich muss halt jetzt entscheiden wie flach die Hierarchien werde sollen.

 

Ob es überhaupt eine Unternehmenshierachie sein muss?

 

Ich habe mich eher von der Menge an User und Rechner leiten mit einem Hang zur Einfachheit und Übersichtlichkeit: Für einen Fachbereich mit 50 Rechnern und Benutzern jeweils eine RechnerOU und BenutzerOU, alle Rechner und alle Benutzer erhalten die selben Einstellungen, Berechtigungen.

Bei einem zweiten FB gleicher Grösse jeweils eine weitere OU.

 

Die Hierachie ist also die Domäne und darunter die OU-Flat, ende des Gelände.

 

In einem anderen Bereich habe ich dann mal SubOU gebaut: AutoAdminLogon mit einer Gruppenrichtlinie dafür. Wenn also für Wartungsarbeiten ein Teil der Rechner in den Modus sollen, dann werden die Computerkonten in die SubOU verschoben.

bearbeitet 6. Januar 2015 von lefg

[NorbertFe 2.027]

Für Ihn war es auch sicherlich sinnvoll, sons hätte er es ja nicht gemacht.

Ich glaube nicht, dass das eine mit dem anderen zu tun haben muß. ;)

 

Bye

Norbert