Jump to content

Best Practice - 2 Domänen; gemeinsamer Zugriff


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich verstehe euch total mit eurer Aussage, leider hängt dann doch immer mehr dran..

 

Bin erst seit ca. einem Jahr in der Firma, und seit letztem Jahr erst ausgelernt.

 

Warum damals 2 Domänen gemacht worden sind, ich weiß es nicht, war lange lange vor meiner Zeit..

 

Eigentlich würde ich ja meine Anforderungen durch die Vertrauensstellung vollkommen decken.

 

Habe leider noch nicht genug Zeit gefunden, mich dort einzuarbeiten, soll aber diesen Monat folgen.

 

 

Wie ich es so lese, wäre es besser, nur noch in DE am Hauptstandort eine Hauptdomäne zu lassen, und für die Außenwerke Unterdomänen bereitstellen?

 

Das wäre dann die Tree-Struktur, oder?

 

Und was ist es, wenn die Domäne A der Domäne B nur vertraut?

 

Danke für eure Aufklärung...

Link zu diesem Kommentar

Moin,

 

externe Unterstützung wurde ja schon erwähnt.

 

Falls externe Unterstützung nicht möglich ist, dann wirst Du dich wohl einarbeiten müssen, Selbststudium oder eine Schulung besuchen. Nicht nur für den aktuellen Wunsch, ich vermeide mal hier das Wort Problem.

 

Was ist denn wirklich mit dem Herstellen einer Vertrauensstellung? Das ist doch kein Hexenwerk, es steht doch im Buch. Oder hast Du kein Buch? Kennst Du den Begriff Technet? Schon mal eine Suchmaschine benutzt?

 

Falls es einen sehr guten Grund weiterhin für die jetzige Struktur gibt, dann behalte sie bei.

 

Gäbe es sehr guten Grund für Subdomänen, dann OK. Was sollte der aber sein? Lohnt es sich?

 

Sollte es aber sehr guten Grund für nur eine Domäne gibt, dann kann man daran erstmal rumdenken, muss nicht schnell ändern nur wegen des Handbuches. Vor allem sollte man die Anforderungen gründlich diskutieren und bestimmen.

 

Den Gedanken mit dem Speicher in einer Cloud habe ich ja schon aufgezeigt.

bearbeitet von lefg
Link zu diesem Kommentar

Abend,

 

 

@NorbertFe

 

Okay, ich werde mich um einiges intensiver mit dem Thema beschäftigen müssen, mal sehen wie lange ich brauche :cool:

 

 

@lefg

 

Wie gesagt, leider haben wir keine Testumgebung, um das Szenario mal durchzugehen.

 

Und derzeit möchte ich noch nix ändern, ohne überhaupt zu wissen was ich da genau mache.

 

Sobald ich schlauer in dem Gebiet bin, melde ich mich nochmal hier.

 

 

Cloud steht derzeit auch im Raum, aber warum nicht die Möglichkeit nutzen, Daten inhouse zu lassen?

 

Habt ihr noch etwas gute Lektüre für mich, außer den genannten Links von faqomatic?(Bin leider noch nicht zum lesen gekommen)

 

Trotzdem Vielen Dank!

 

 

Schulung werde ich mir eine raussuchen, will ja selber auch begabter in der Thematik werden.

bearbeitet von wuurian
Link zu diesem Kommentar

Einen Trust zwischen 2 Domänen technisch einzurichten ist total easy.

https://technet.microsoft.com/en-us/library/cc816837(v=ws.10).aspx

Dafür brauchst du sicher keine externe Unterstützung. Viel kaputt kann man auch nicht. Wenn der Trust nicht funktioniert, dann löschst du einfach alles und fängst von vorne an.

 

Aber betrachte die Security! Trust bedeutet vollständiges Vertrauen. Fällt die andere Domäne, oder ist euch ein Admin aus der anderen Domäne plötzlich nicht mehr wohlgesonnen, dann habt ihr ein Problem, ebenso umgekehrt. 

https://technet.microsoft.com/en-us/library/1f33e9a1-c3c5-431c-a5cc-c3c2bd579ff1

Daher: wenn sich der Trust vermeiden lässt, dann vermeide ihn. Webserver etc. asl Alternative wurden schon genannt.

 

blub

Link zu diesem Kommentar

Moin,

 

Einen Trust zwischen 2 Domänen technisch einzurichten ist total easy.

[...]

Aber betrachte die Security!

 

genau das war bislang ja der Kern der Argumentation ... und doch, man kann da schon einiges kaputtmachen, wenn man auf der Ebene aufs Geratewohl herummacht. Daher bleibe ich dabei, von solchen Tipps à la "geht doch ganz einfach" entschieden abzuraten - insbesondere wenn der TO nicht mal bereit ist, zu lesen, was man ihm empfiehlt, und eine Testumgebung einzurichten, die ja nun wirklich keinen großen Aufwand erzeugen würde.

 

Für mich ist dann hier Schluss, ich kann das nicht verantworten.

 

Gruß, Nils

Link zu diesem Kommentar

Ich behaupte mal, dass niemand hier behauptet hätte, den trust wizard durchzuentern wäre ein technisches Problem. Zumindest meine Aussage war dazu eher den Designaspekt zu berücksichtigen, und der beinhaltet selbstverständlich auch das Thema Security. Und schon ist es eben nicht mehr ganz so easy und egal wie, nur vom lesen wird man da trotzdem nicht zu einem fundierten Ergebnis kommen, sondern maximal zu einem "geht doch". Solche Diskussionen gabs hier auch schon häufiger. Ich kann nils da nur zustimmen. Viel Erfolg dem to.

 

Bye

Norbert

Link zu diesem Kommentar

Hi,

 

Es hieß nicht, dass ich dir vorschreiben wollte, was du zu antworten hast.

 

das ist aber großzügig. Was gab es denn zum Frühstück ?

 

Leute kommt mal auf den Boden, nehmt euch dem Thema an und gebt Hinweise welche als sinnvoll zu betrachten sind,

je nach Kenntnisstand des Schreibers und auch nach dessen Meinung. Zu verantworten hat die Umsetzung immer die

Person welche dann die ENTER Taste am System drückt.

 

- So und nun Back to Topic -

Link zu diesem Kommentar

Hallo wuurian,

Als Entscheidungshilfe pro und contra -um Anregungen dazu dürfte es dir ja hauptsächlich ankommen- für einen Windows Trust:.

 

Pro;

- Wenn sich die Betreiber beider Domänen vertrauen, vielleicht sogar dieselben Administratoren haben

- wenn beide Domäne dasselbe Sicherheitslevel haben (z.B. Passwortrichtlinien, Lockout-Policies, etc.)

- wenn beide Domäneverantwortlichen (sprich die Finanzierer der Domänen, nicht die Administratoren) zustimmen

spricht m.E. nichts gegen einen Trust. Ein Trust ist kein Hexenwerk, aber muss sauber dokumentiert sein.
 

Je nachdem wie weit die Domänen voneinander getrennt sind und welche Werte dahinter stecken, kann man sich überlegen, ob und wie man die Zusammenarbeit der Domänen und den Datenaustausch vertraglich regelt.

Google beispielsweise nach

"TCA - Third Party Connection agreement",

"IA - Interoperability Agreement"

"ISA - Interoperability Security Agreement"

"MOA - Memorandum of understanding".

auf Deutsch hab ich die Titel jetzt leider nicht da.

 

Contra:

- andere Lösungen  haben keinen so großen organisatorischen und technischen Impact, wie ein Domänen-Trust

- aus einem Trust werden schnell zwei, drei,.., viele Trusts, weil es eben so schön einfach ist. Dann kann es zu Chaos kommen.

- schau dir bitte den zweiten Link in meinem obigen Post an, da sind die technischen Impacts beschrieben

- die Notwendigkeit bestehender Trust sollte regelmäßig organisatorisch überprüft werden.

 

Dass du dir bei Arbeiten an der Infrastruktur als Administrator bei Bedarf Unterstützung holst, bzw. dich vorher ausreichend schlau machst, davon gehe selbstverständlich aus.

Systemhäuser werden dir vermutlich die Lösung mit dem höchsten Stundenaufwand ans Herz legen. Ich würde zumindest nach deiner Beschreibung der Aufgabe versuchen, eine einfachere Alternative als einen Domänen-Trust zu finden.

 

blub

Link zu diesem Kommentar

.......

------------------------

 

Was ist denn wirklich mit dem Herstellen einer Vertrauensstellung? Das ist doch kein Hexenwerk, es steht doch im Buch. Oder hast Du kein Buch? Kennst Du den Begriff Technet? Schon mal eine Suchmaschine benutzt?

------------------------------------------

------

 

Ich wurde darauf aufmerksam gemacht, diese Art von Fragestellung sei unhöflich und unter der Gürtellinie. Ich stimme dem zu.

 

Ich bitte besonders dem Thread Owner @wuurian um Entschuldigung.

 

Edgar

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...