Pderlet 10 Geschrieben 11. Juli 2017 Melden Teilen Geschrieben 11. Juli 2017 Hallo zusammen, ich habe hier mal eine Frage. Unsere Firma ist ein HostingUnternehmen. Aktuell betreuen wir 1 großen Kunden mit eigenem AD und Exchange. In Zukunft sollen neue Kunden hinzu kommen. Hierfür soll ich mir eine Art Shared AD Modell überlegen. 1 AD mit mehreren Kunden. Unsere Admins sollten einmal im AD angelegt werden und immer Adminzugriff auf die jeweilige Kundendomain bekommen. Hat einer von euch schon so ein Modell aufgebaut? Wie sind eure Erfahrungen? Wie sieht es mit dem Thema Security aus? Ich lebe ja eher nach dem Motto keep it simple... Von den Lizenzkosten her sollte es so billig wie möglich sein was ja bei einem Ein Domain Modell pro Kunde nicht möglich ist. Einen Shared Exchange sollten wir ebenfalls aufsetzen. Vielen Dank schon mal für euren Rat! Gruß, Patrick Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.940 Geschrieben 11. Juli 2017 Beste Lösung Melden Teilen Geschrieben 11. Juli 2017 (bearbeitet) Moin, kurze Antwort: Der Gedanke ist naheliegend, aber vergiss es. Längere Antwort: Weder das AD noch Exchange sind wirklich für so ein Mandantenmodell geeignet. Man müsste derart viel in den Berechtigungen des AD und von Exchange ändern, dass die Umgebung kaum noch verwaltbar ist. Zudem befindet man sich sehr schnell in einem Zustand, der von Microsoft nicht mehr supported wird. Du müsstest ein AD bauen, in dem User eines Kunden die User anderer Kunden nicht "sehen" können. Das erfordert sehr komplexe Berechtigungen, die teilweise für jedes Objekt neu gesetzt werden müssten. Da Exchange sich seit einigen Jahren nicht mehr an die AD-Berechtigungen hält, müsstest du das für Exchange dann noch mal separat machen. Mit sehr viel Aufwand bekommt man das zwar technisch hin, es ist dann aber sehr wahrscheinlich, dass viele Programme und Funktionen nicht richtig damit klarkommen. Die meisten Hoster haben das auch festgestellt und arbeiten daher tatsächlich mit einer Umgebung pro Kunde. Bezüglich der Lizenzkosten macht das meines Wissens kaum einen Unterschied: Da man hier mit SPLA-Lizenzierung arbeiten muss, ist die Zahl der User das Kriterium, die Serverlizenzen fallen dann kaum noch ins Gewicht. Ich habe das mit mehreren Kunden durchevauliert, die haben sich alle für das simple Modell "eine Domain pro Kunde" entschieden. Für die Administration könnte man sich dann überlegen, eine zentrale Admin-Domain zu bauen, die die Adminkonten hält und per Trust auf die Kundendomains zugreift. Das hat aber Sicherheitsimplikationen, die man auch sorgfältig durchdenken sollte. Gruß, Nils bearbeitet 11. Juli 2017 von NilsK Zitieren Link zu diesem Kommentar
Pderlet 10 Geschrieben 11. Juli 2017 Autor Melden Teilen Geschrieben 11. Juli 2017 (bearbeitet) Hallo Nils, vielen Dank für die schnelle Antwort. Das dachte ich mir schon. Die zentrale Admin-Domain könnte man doch nehmen um noch einen zentralen WSUS Server für sämtliche Kundenserver einzusetzen oder sagst du hier auch pro Kundendomäne einen WSUS Server? Gruß, Patrick bearbeitet 11. Juli 2017 von Pderlet Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 11. Juli 2017 Melden Teilen Geschrieben 11. Juli 2017 Moin, das wären sicher Dinge, die man konsolidieren kann. Das sind dann konzeptionelle Fragen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.