gweichbold 0 Geschrieben 9. September 2015 Melden Teilen Geschrieben 9. September 2015 Hallo! Ich hätte da 2 hoffentlich kleine und leicht zu beantwortende Fragen betreffend AD. 1.) Gesamtstrukturfunktionsebene und Domainfunktionsebene Wir haben einen (nur einen - siehe Screenshot) DC (Win 2012R2), welcher als Gesamtstrukturfunktionsebene und Domainfunktionsebene noch Win 2003 hat. Jedoch gibt es zu dieser Domäne mehrere Vertrauensstellungen: Kann ich hier ohne Probleme die Gesamtstrukturfunktionsebene und Domainfunktionsebene auf Win 2012R2 stufen? Was sollte beachtet werden? 2.) Umstrukturierung des AD-Aufbaus: Wir haben mehrere Tochterfirmen und wollen die Domänen zusammenlegen. Derzeit werden alle User und Computer in den "normalen" Containern abgelegt und keine weitere Untergliederung wurde geschaffen. Da nun vermehrt die Problematik mit unterschiedlichen Gruppenrichtlinien etc. aufkommt, hätte ich dies gerne umstrukturiert. Bsp: Firma 1 --- Standort 1 -------- Computers -------- Users --- Standort 2 -------- Computers -------- Users --- Standort n -------- Computers -------- Users Firma 2 --- Standort 1 -------- Computers -------- Users --- Standort 2 -------- Computers -------- Users --- Standort n -------- Computers -------- Users Firma 3 (womöglich nur 1 Standort) --- Computers --- Users Würde das so passen? Soll eine übergeordnete OU hinzugefügt werden? Uebergeordnete OU --Firma 1 ---- Standort 1 --------- Computers --------- Users ---- Standort 2 --------- Computers -------- Users ---- Standort n --------- Computers --------- Users --Firma 2 ---- Standort 1 --------- Computers --------- Users ---- Standort 2 --------- Computers -------- Users ---- Standort n --------- Computers --------- Users Vorschläge? Mir ist bewusst, wenn die Domänen zusammengelegt werden, mehrere DC nötig werden. Ich dachte hier an Read Only DCs. Danke! lg Zitieren Link zu diesem Kommentar
ssd_rider 2 Geschrieben 9. September 2015 Melden Teilen Geschrieben 9. September 2015 (bearbeitet) Du brauchst aber, meines Wissens nach, für jede Domäne mindestens einen schreibbaren DC. Read-only DC's sind nur ein Sicherheitsfeature, welches verwendet werden kann, falls mal der DC gehackt wird werden nur die User "gehackt" welche für diesen DC registriert wurden. bearbeitet 9. September 2015 von ssd_rider Zitieren Link zu diesem Kommentar
gweichbold 0 Geschrieben 9. September 2015 Autor Melden Teilen Geschrieben 9. September 2015 (bearbeitet) Du brauchst aber, meines Wissens nach, für jede Domäne mindestens einen schreibbaren DC. Read-only DC's sind nur ein Sicherheitsfeature, welches verwendet werden kann, falls mal der DC gehackt wird oder so. Die anderen Domänen sollen migriert und danach entfernt werden. Dh. es gibt "idealerweise" nur noch eine Domäne. Dann sollte 1 DC + x Read Only DCs reichen, oder? bearbeitet 9. September 2015 von gweichbold Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 9. September 2015 Melden Teilen Geschrieben 9. September 2015 (bearbeitet) Read-only DCs sind dann sinnvoll, wenn die physikalische Sicherheit des DCs an einem Standort schlechter gewährleistet werden kann. Falls die geklaut werden, befinden sich darauf dann einschränkbare Daten. Ein Read-only-DC kann aber nicht von allen Programmen einfach als DC-Ersatz genutzt werden, weil er - wie der Name schon sagt - nicht beschrieben werden kann. Am selben Standort zusammen mit normalen DCs ist das weniger sinnvoll. BTW: Wenn man sich Sorgen über physikalische Sicherheit macht, kommen die Leute auf die unterschiedlichsten ideen... Have fun! Daniel bearbeitet 9. September 2015 von Daniel -MSFT- 1 Zitieren Link zu diesem Kommentar
gweichbold 0 Geschrieben 9. September 2015 Autor Melden Teilen Geschrieben 9. September 2015 ok, das heißt, es wäre trotzdem an normale DCs zu denken! Danke ;) wie siehts mit den anderen Themen aus? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. September 2015 Melden Teilen Geschrieben 9. September 2015 Dann sollte 1 DC + x Read Only DCs reichen, oder? Kurz überlegen.... Nö! Was machst du, wenn dein einziger schreibbarer DC stirbt? ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 9. September 2015 Melden Teilen Geschrieben 9. September 2015 Moin, du kannst den Domänenmodus problemlos hochsetzen. Die Trusts haben nichts damit zu tun. Und da du keine älteren DCs in der Domäne hast, steht dem auch nichts entgegen. Was die OU-Struktur betrifft: Kann man so machen, das ist ja in erster Linie eine organisatorische Entscheidung. Die Struktur ist schon sehr stark differenziert, das würde ich also nur machen, wenn es auch viele Objekte gibt. Sonst ist eine flachere Struktur sinnvoller, sonst hat man sehr viel Geklicke. Gruß, Nils Zitieren Link zu diesem Kommentar
gweichbold 0 Geschrieben 10. September 2015 Autor Melden Teilen Geschrieben 10. September 2015 du kannst den Domänenmodus problemlos hochsetzen. Die Trusts haben nichts damit zu tun. Und da du keine älteren DCs in der Domäne hast, steht dem auch nichts entgegen. Super, habe ich mir zwar gedacht, aber wollte nur auf Nummer sicher gehen. Was die OU-Struktur betrifft: Kann man so machen, das ist ja in erster Linie eine organisatorische Entscheidung. Die Struktur ist schon sehr stark differenziert, das würde ich also nur machen, wenn es auch viele Objekte gibt. Sonst ist eine flachere Struktur sinnvoller, sonst hat man sehr viel Geklicke. Derzeitige Anzahl Objekte vom Typ "computer": 602 "user": 565 "group": 154 => wird jedoch mit der Zusammenlegung der Domänen noch wachsen. Geschätzt auf: Computer: ~ 900+ User: ~ 800+ group: müssen neu definiert werden. Wie würde deine Empfehlung aussehen? Danke! lg Gerald Zitieren Link zu diesem Kommentar
ssd_rider 2 Geschrieben 10. September 2015 Melden Teilen Geschrieben 10. September 2015 Also ich finde es so wie du geschrieben hast in Ordnung. Es muss aber jeder selber entscheiden wie. Es kann ja sein es gibt noch einen anderen Admin in einem anderen Standort. Zitieren Link zu diesem Kommentar
gweichbold 0 Geschrieben 10. September 2015 Autor Melden Teilen Geschrieben 10. September 2015 Also ich finde es so wie du geschrieben hast in Ordnung. Es muss aber jeder selber entscheiden wie. Es kann ja sein es gibt noch einen anderen Admin in einem anderen Standort. ja, wird auch noch zumindest einen Admin an einem anderen Standort geben. Dann werd ich mal langsam beginnen. Danke für eure Hilfe :) Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 10. September 2015 Melden Teilen Geschrieben 10. September 2015 Moin, ja, bei der Objektzahl kann so eine differenzierte Struktur so passen. Eine Empfehlung kann ich nicht aussprechen, ohne die organisatorischen Belange zu kennen. Aber: Ihr habt vierstellige Objektzahlen und nur einen DC?! Das solltest du noch heute ändern ... Gruß, Nils Zitieren Link zu diesem Kommentar
gweichbold 0 Geschrieben 10. September 2015 Autor Melden Teilen Geschrieben 10. September 2015 ja, bin erst seit kurzem in der Firma und darf mich darum kümmern. Das Problem mit einem DC hab ich auch schon angesprochen => werde ich auch baldigst ändern... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.