Active Directory Design

[TheDonMiguel 11]

Hallo zusammen

 

Ich habe in meiner Firma den Auftrag gefasst, ein AD Design für unsere 2003 Umgebung zu kreieren. Grundsätzlich habe ich da schon einige Ideen und auch Grundlagen von früheren Firmen. Jedoch weiss ich nicht, ob es ev. bessere Lösungen gibt. Zusagen ist, dass es eine Domain ist mit physisch vielen Standorten und Tochterfirmenen. Jede Lokation hat Server und Standardclients. Es gibt 2 grosse RZ mit jeweils lokalen Admins...

 

Ich habe die OU's so gegliedert, dass jeder Standort eine OU ist und darunter die Ressourcen (Clients, Server, User, Groups, etc) in weiteren OU's abgebilted werden. Total 2 Ebenen. Ist das soweit OK?

 

Probleme habe ich nun unteranderem bei der Planung der Gruppen. Ich bin da auf den Begriff, AGDLP gestossen. Leider finde ich nirgens ein gutes (offizielles) Dokument, welches Beschreibt wann was angewendet wird. Wer weiss dazu mehr?

 

Was haltet ihr eigentlich von WINS???

 

Besten Dank im Voraus!

 

Gruss,

TDM

[dmetzger 10]

Das offizielle Dokument ist hier:

http://www.microsoft.com/downloads/details.aspx?familyid=6cde6ee7-5df1-4394-92ed-2147c3a9ebbe&displaylang=en

 

WINS ist ok, wenn es noch Clients und Server vor Windows 2000 im Netz hat. Wenn alles 2000/XP/2003 ist, bist Du mit DNS bereits bestens bedient.

[BuzzeR 10]

... da fällt mir ein, dass da noch irgendetwas aussteht ... hmmm let's see.

 

Anyway ... jetzt zu Deinen aktuellen Fragen:

 

1. Planung der Domain

Es spricht nichts dagegen, nur eine Domain aufzusetzen und alles über

Standorte zu realisieren. W2k3 ist hoch skalierbar, sofern man dass von

Windows behaupten darf, doch die Jungs aus Redmond sind auf dem

richtigen Weg.

 

Ich würde das jedenfalls so machen, da ich sehr ungern administrative

Gewalt aus den Händen gebe und alle Berechtigungen sehr granular

vergeben möchte.

 

2. Design der OUs

Nach den von Dir gemachten Angaben möchte ich sagen, dass das so

schon recht gut ist - so kannst Du die Granularität der Rechtevergabe

an andere Admins durch GPOs gewährleisten.

 

3. AGDLP

Account GlobalGroup DomainLocalGroup Permissions

 

Das bedeutet nichts weiter, als das Du Deine User in Globale Sicherheitsgruppen

packst, um damit sicherzustellen, dass diese Gruppen innerhalb der gesamten

Struktur repliziert werden. Wenn Du nur eine hast, dann ist das quasi nicht weiter

erheblich, doch wer weiß schon was sich domänentechnisch in Deiner Firma

noch abspielen wird.

 

Die Rechtevergabe auf Ressourcen vergibst Du allerdings auf DomänenLokale

Gruppen. Bei mir sieht das so aus ...

 

g_Personal -> r_PersAustausch

 

Das bedeutet, dass ich meine Personal-Jogis in die Globale Sicherheitsgruppe

g_Personal gepackt habe. Diese Gruppe habe ich dann in die GomänenLokale

Gruppe r_PersAustauch gepackt und dieser gebe ich die Rechte auf die jeweilige

Ressource.

 

Meine Namenskonvention:

g_... globale Sicherheitsgruppe

d_... domänen Lokle Sicherheitsgruppe

r_... Ressourcengruppe ( Dieser gebe ich die Rechte auf die Ressource )

 

4. WINS

WINS gehört heute auf jeden Fall noch in ein größeres Netz, so traurig, wie es

ist, jedoch kann man selten sicherstellen und garantieren, was für Rechner sich

so in Deinem Netz rumtreiben.

 

 

Gruß

Marco

[TheDonMiguel 11]

Hallo Marco

 

Danke für deine Hilfe (schon wieder). Das Prinizp von ADGLP ist mir nun eigentlich klar, jedoch findet man nur wenige offiziele Ressourcen, wo dies beschrieben wird. Wieso den das?!

 

Zum WINS; Wir haben ein 2000/XP/2003er Netz. Aber ich denke, dass gewisse Apps noch immer mit NetBios arbeiten. Ich denke, dass es einfacher und weniger aufwändiger ist einen WINS zu installieren als das Netz abzusuchen...

 

Was schlägst du eigentlich vor, andere Admins im System zu verwalten? Sprich, nimand will ja eingeschränkt werden - jedoch kann auch nicht jeder einen Domain Admin Account besitzen... Wie handhabst du eigentlich externe IT- Firmen, welche in deinem Netz arbeiten müsssen?

 

Danke für die Tipps! Gruss und schönes Weekend

TDM