Wie Active Directory richtig aufbauen - Rechtemanagement

[Cryer 17]

Bislang war die Sache ganz einfach. Ich habe eine OU die nennt sich "Firma1" und eine "Firma2". Darin jeweils die Benutzer und die Globale- und Domäne-Lokale Gruppen. Dann die Ordner entsprechend berechtigen. Fertig.

 

Nun aber gibt es die Situation, dass es eben nicht mehr die Ordner gibt die nur für "Firma1" und "Firma2" relevant sind sondern diverse Teilbereiche. Also muss das Rechtemanagement grundlegend überarbeitet werden.

 

Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. In diesem Beispiel nehmen wir jetzt einfach mal folgende Ordner

- Verwaltung - Alle Mitarbeiter lesenden Zugriff, ausgewählte Mitarbeiter schreibend

- Buchhaltung - Nur die Leute der Buchhaltung haben lesenden Zugriff, der Rest keinen Zugriff

- Personal - Nur die Leute vom Personal haben lesenden Zugriff, der Rest keinen Zugriff

- Temp - Alle haben lesenden und schreibenden Zugriff

 

Die Leute sollen aber jeweils in der OU ihrer Firma bleiben, sofern das überhaupt möglich ist, da jeder Firma gewisse Gruppenrichtlinien zugewiesen sind

Ich habe irgendwie absolut keine Idee, wie das Active Directory nun auszusehen hat, damit das vernünftig verwaltet werden kann.

[tesso 375]

Schau dir mal AGDLP an. Dieses Konzept sollte sich weiter bringen. 

[lefg 276]

vor 2 Stunden schrieb Cryer:

Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte.

 

Moin

 

Grundsätzlich: AD und OUs sind eines,  Berechtigungen auf NTFS-Objekte(Ordner)  durch Sicherheitgruppen etwas anderes. Man unterscheide das also.

Benutzer sind Mitglieder von Sicherheitsgruppen.

Die Berechtigungen(NTFS) auf Ordner haben als nichts mit den OUs zu tun.

 

Wie es @Tesso vor mir schrieb,

vor 29 Minuten schrieb tesso:

AGDLP

ist dein Stichwort. Alles wurde vielfach hier im Forum diskutiert.

 

Hier jetzt alles nochmals durchkauen? Nun, wir werden sehen? Gegebenfalls mache ich mit. :)

 

[Cryer 17]

Danke euch. Ich habe mir direkt ein Video dazu angeguckt. Was haltet ihr davon? Zumindest die ersten 18 Minuten scheinen mir sehr plausibel. Ist das so richtig und stimmt die Struktur im Active Directory so?

bearbeitet 3. November 2020 von Cryer

[lefg 276]

Moin

 

Ehrlich gesagt, ich sehe mir sowas nicht an, da ich es nicht für mich brauche.

[NilsK 2.930]

Moin,

 

ich bin auch kein Freund von Videos ... ich hab mir nur ein paar Ausschnitte angesehen, mein Eindruck ist: Der Typ hat es nicht verstanden. Es geht nicht darum, Globale Gruppen mit Domänenlokalen Gruppen zu doppeln, wie er es zeigt. Seine Darstellung geht am Kern vorbei und ist - gemessen am Thema - mindestens teilweise falsch.

 

Ich habe das hier mal so beschrieben, wie es eigentlich gedacht ist - du findest den Link ca. 1000-mal hier im Board:

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Und zu den Freigabeberechtigungen - das macht er zwar richtig, begründet es aber falsch:

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Die AD-Struktur selbst kann man nicht "richtig" oder "falsch" bauen, aber "günstig" oder "weniger günstig". Das hängt von der Administrationsstruktur ab. Wichtig: Bilde nicht das Organigramm ab, sondern die administrativen Anforderungen.

 

Gruß, Nils

 

[lefg 276]

Moin

 

Ehrlich gesagt, ich sehe mir sowas nicht an, I

[Cryer 17]

Also das Prinzip von AGDLP habe ich schon verstanden (denke / hoffe ich). Es hapert vielmehr an der Umsetzung im AD. Hier mal ein Teilscreenshot aus dem Video. Kann man das so machen oder ist das schon falsch? Er hat eine OU für die Domain Locals und eine OU für die Globals erstellt und packt die dort dann alle entsprechend rein. Wenn das falsch ist, wie sieht es richtig aus? Es geht mir hier rein um die richtige Abbildung im AD.

[NilsK 2.930]

Moin,

 

Wie ich schon schrieb: richtig oder falsch gibt es da nicht. Das ist eine Frage der Organisation. Man kann das so machen wir in dem Video. Oder anders.

 

Wie groß ist denn die Domäne?

 

Gruß, Nils

[Cryer 17]

Du meinst wie viele Benutzer? An dem Standort zur Zeit ~15-20 Benutzer bei 10-15 Ordnern. Ist jetzt nicht viel. Hängt damit zusammen, dass wir an einer übergeordneten Organisation angegliedert sind und daher das meiste über eine Citrix-Farm (die ich nicht betreue) läuft. Nur sehr wenig wird noch lokal gemacht.

 

Man weiß aber nie was die Zukunft bringt und deswegen will ich es jetzt gleich richtig aufziehen bzw. umgestalten. Kann ja sein, dass wir uns irgendwann von der übergeordneten Organisation lösen und dann alles selber machen. Dann sind das auf einen Schlag 150 Leute bei was weis ich viel vielen Ordnern und Berechtigungsstufen (schreiben, nur lesen). Daher auch meine anderen Threads. Einen kleinen Teil (der auf unserem RDS arbeitet) ist bereits losgelöst und kann nicht am Citrix-Programm der übergeordneten Organisation teilnehmen.

 

Für meine kleine Umgebung spielt das meiste keine Rolle, aber ich wills eben richtig machen und nicht so "Hauptsache es funktioniert".

bearbeitet 3. November 2020 von Cryer

[NilsK 2.930]

Moin,

 

Auch bei 150 Usern brauchst du keine besonders große Struktur. Ich würde alle User in eine OU stecken. Gruppen in eine separate OU, die Aufteilung nach Globalen und Lokalen Gruppen ist nicht schlecht. Mehr an OUs wirst du kaum benötigen. Und wenn doch, änderst du es halt, sobald es ansteht. 

 

Eins der größten Missverständnisse beim AD-Design ist, dass man eine Struktur für die Ewigkeit entwerfen müsse. Muss man nicht.

 

Gruß, Nils