none
Best Practice Anfrage zur Einrichtung von Abteilungslaufwerken bei neuer AD Struktur RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo Community,

    ich betreue in unserem Unternehmen 950 Domains, die auf jeweils einem W2008 Server laufen. Zukünftig sollen diese alle in einem AD zentral auf einem W2012 R2 verwaltet werden.

    Ich stehe jetzt vor der Frage, wie man das AD am besten organisiert, damit den ursprünglichen Domains weiterhin ein gemeinsames Abteilungslaufwerk gemappt wird.

    Beispiel: ursprüngliche Domain "xyz001" soll zukünftig als Abteilungslaufwerk "K:\xyz001" erhalten.

    Jetzt stellt sich uns halt die Frage, was der Best Practice für die Umsetzung empfiehlt. Gefühlt würde ich alle User in einer OU sammeln und für jede ursprüngliche OU eine Gruppe erstellen. Allerdings gäbe es ja noch einige andere Möglichkeiten z.B. über die Attribute der AD Objekte zu diverenzieren bzw. für jede Domain eine eigene OU zu erstellen.

    Würde mich sehr interessieren, wie Eure Empfehlung aussieht.

    Besten Dank schonmal im Voraus
    Montag, 7. Juli 2014 10:45
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    eine Frage hier ist, wie weit soll Eure Sicherheit sein. Eine Sicherheitsgrenze im AD ist die Gesamtstruktur und nicht die Domäne.

    Soll hier nur über die Benutzerverwaltung geredet werden oder auch Dienste wie z.B. Exchange oder SharePoint welche entsptechend angebunden werden sollen?

    Multimandantenfähigkeit ist im AD nicht so einfach herzustellen, da theoretisch die Objekte in OUs unsichtbar für andere gemacht werden können, dies praktisch aber nicht so einfach umzusetzen ist, da man die Sicherheitseinstellungen massiv anpassen muss und dabei das AD natürlich nicht unbedienbar machen möchte.

    Sich hier von einem Profi beraten zu lassen, welcher in diesem Bereich Erfahrung hat, sehe ich ebenfalls als bessere Lösung gegenüber den Foren.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 8. Juli 2014 08:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 07.07.2014 12:45, schrieb Dr Ruthe:

    Ich stehe jetzt vor der Frage, wie man das AD am besten organisiert,
    damit den ursprünglichen Domains weiterhin ein gemeinsames
    Abteilungslaufwerk gemappt wird.

    Genereller Ansatz:
    - Pro Kunde/Tenant eigene OUs und eigene Sicherheitsgruppen
    - das AD umstellen, sodass die OUs "unsichtbar" für die jeweils anderne sind und damit auch die Exchange Cataloge angepasst sind etc.
     http://www.faq-o-matic.net/2011/02/01/active-directory-objekte-differenziert-auflisten/
    - Fileserver mit ABE aufsetzen, NTFS Recht entsprechend anpassen und direkt den "Hauptknoten" verbinden. Oder Schönheitspreis gewinnen und PRO Ordner das Mapping anhand der Sicherheitsgruppe/OU zum Ordner scripten.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 8. Juli 2014 10:18
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    prinzipiell ist der Ansatz, aus jeder Domain eine OU zu machen nicht ganz verkehrt. Nun stellt sich aber die Frage, ob euch die OU als Security Boundary reicht.
    Vorher war eure Boundary die Domäne. Mit einem mehrmandantenfähigen AD stellen sich eben noch einmal ganz andere Fragen.

    Aus meiner Sicht ist das eher eine Frage, die man mit einem Consultant erörtern sollte, nicht unbedingt mit der Community ;)

    Gruß
    Lennart 

    Montag, 7. Juli 2014 14:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    eine Frage hier ist, wie weit soll Eure Sicherheit sein. Eine Sicherheitsgrenze im AD ist die Gesamtstruktur und nicht die Domäne.

    Soll hier nur über die Benutzerverwaltung geredet werden oder auch Dienste wie z.B. Exchange oder SharePoint welche entsptechend angebunden werden sollen?

    Multimandantenfähigkeit ist im AD nicht so einfach herzustellen, da theoretisch die Objekte in OUs unsichtbar für andere gemacht werden können, dies praktisch aber nicht so einfach umzusetzen ist, da man die Sicherheitseinstellungen massiv anpassen muss und dabei das AD natürlich nicht unbedienbar machen möchte.

    Sich hier von einem Profi beraten zu lassen, welcher in diesem Bereich Erfahrung hat, sehe ich ebenfalls als bessere Lösung gegenüber den Foren.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 8. Juli 2014 08:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 07.07.2014 12:45, schrieb Dr Ruthe:

    Ich stehe jetzt vor der Frage, wie man das AD am besten organisiert,
    damit den ursprünglichen Domains weiterhin ein gemeinsames
    Abteilungslaufwerk gemappt wird.

    Genereller Ansatz:
    - Pro Kunde/Tenant eigene OUs und eigene Sicherheitsgruppen
    - das AD umstellen, sodass die OUs "unsichtbar" für die jeweils anderne sind und damit auch die Exchange Cataloge angepasst sind etc.
     http://www.faq-o-matic.net/2011/02/01/active-directory-objekte-differenziert-auflisten/
    - Fileserver mit ABE aufsetzen, NTFS Recht entsprechend anpassen und direkt den "Hauptknoten" verbinden. Oder Schönheitspreis gewinnen und PRO Ordner das Mapping anhand der Sicherheitsgruppe/OU zum Ordner scripten.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 8. Juli 2014 10:18
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > Oder Schönheitspreis gewinnen und PRO Ordner das Mapping anhand der
    > Sicherheitsgruppe/OU zum Ordner scripten.
     
    ...oder eine Kennung in ein ungenutztes AD-Attribut schreiben (z.B.
    adminDescription), diese Kennung mit Zielgruppenadressierung
    (LDAP-Abfrage) auslesen und als Variable im Mapping verwenden.
     
    Wer macht schon Skripte? :-D
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 8. Juli 2014 11:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 08.07.2014 13:23, schrieb Martin Binder [MVP]:

    Wer macht schon Skripte? :-D

    Auf jeden Fall die Amis nicht ... das muss schon seit Jahren bei denen ohne funktionieren. Sonst wäre "immer auf das Netzwerk warten - deaktiviert" nie als Default ins System gekommen :-D

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 8. Juli 2014 11:56
    |