Active Directory Struktur

Seite 1 von 1 - Forum: Windows auf overclockers.at

URL: https://www.overclockers.at/windows/active_directory_struktur_201713/page_1 - zur Vollversion wechseln!

HitTheCow schrieb am 14.11.2008 um 11:01

mich würd mal interessieren wie bei "euch" so die AD strukturen in der firma sind.
wir (ich) sind (bin) grad am umstellen / zusammenlegen von derzeit einzelnen domains (geographisch verteilte standorte) zu einem forrest. migrationstests usw usf hab ich schon hinter mir, wollte mir jetzt eine ordentliche struktur überlegen, wie das ganze verwaltungstechnisch und übersichtlich am geschicktesten ist.
vor allem gehts mir um eine optimale struktur bzgl. einfacher verwaltung von gruppenrichtlinien für einzelne standorte, gruppen, personen, ...
derzeit hat noch jeder standort sein eigenes süppchen bzgl. anmeldeskripts, sicherheitsrichtlinien, ... soll aber in dessen zuge zusammengelegt und vereinheitlicht werden.

ich fang einfach mal an, was mir so durch den kopf gegangen ist:

Code:

*domain
 -plant01
   -groups
     -localgroups
     -globalgroups
   -divisions
     -division01
     -division02
     -division03
        -user
        -desktops
        -notebooks
     -divison04
 -plant02
 -...

oder lieber

Code:

*domain
 -plant01
   -groups
   -divions01
      -user from divison01
   -divions02
   -division03
   -...
   -desktops
   -notebooks
   -server

oder komplett anders?

v.a. gehts um anmelde/-logonscripts für abteilungslaufwerke, desktopverknüpfungen für programme, sicherheitsrichtlinien für div. programme, automatische installation bzw. ausrollen von programmen (virenscanner, firewalleinstellungen, vnc-freigaben) usw. usf...

ich bin für alle vorschläge offen!
tia, htc

jives schrieb am 14.11.2008 um 11:47

Ich war zwar beim aufziehen der Domain bei uns in der Firma mit beteiligt, aber bin alles andere als ein Experte und bei uns ist die Lösung (glaube ich) nicht optimal.

Dafür kann ich aber eine - wie ich finde - gute Anlaufstelle bieten:
http://msadfaq.de/wiki/Main_Page -> http://msadfaq.de/wiki/ActiveDirectory/Design

HP schrieb am 14.11.2008 um 12:17

Wieviele Administratoren verwalten das AD?

dethspank schrieb am 14.11.2008 um 12:19

--- pls delete posting ---

HitTheCow schrieb am 15.11.2008 um 12:34

Derzeit gehts um 5 Standorte - überall sitzen im Schnitt 3 IT Seute.
Vor "kurzem" kam noch ein Rechenzentrum dazu, dort stehen derzeit die 2 "neuen" DCs, sowie einige Anwendungsserver.
Diese werden vorwiegend von einem Administrator von (nicht meinem) Standort betreut.
In jedem Standort soll in weiterer Folge (mindestens) ein weiterer DC stehen.

Code:

                     DC1-DC2 (Rechenzentrum)
      _____________|____________
     |     |     |      |     |
 DC_S1  DC_S2  DC_S3  DC_S4  DC_S5

Am "schönsten" wäre es natürlich wenn das meiste (vorwiegend GPOs) weit oben in der Hierarchie stehen würde, damit eine zentrale Administration möglich ist, aber das ist eh nicht so das Problem. Eher ginge es mir um die logische Aufteilung innerhalb des Standorts

@jives: danke für die links - werd ich mir gleich anschauen

HitTheCow schrieb am 16.11.2008 um 12:32

hat noch jemande praktische beispiele?

jives link ist zwar eine sehr gute zusammenfassung / linksammlung, aber mich würden eure erfahrungsberichte mehr interessieren -> vor- und nachteile von verschiedenen strukturen

spunz schrieb am 16.11.2008 um 13:01

Code:

land1
   standort1
     users
     groups
     computer
   standort2
     users
     groups
     computer
land2
   standort1
     users
     groups
     computer
   standort2
     users
     groups
     computer

keep it simple, runterbrechen auf abteilungen würde auf gruppenebene und nicht per ou.

HitTheCow schrieb am 19.11.2008 um 15:31

hmm...
land / standort ist schonmal nicht schlecht (an "land" hab ich gar nicht gedacht).
deine lösung hab ich mir jetzt mal durch den kopf gehen lassen. find ich jetzt auf die schnelle aber eine spur komplizierter und unübersichtlicher (obwohls einfacher aufgebaut ist), wahrscheinlich weil ichs eben anders gewöhnt bin. vielleicht denk ich auch gerade zu sehr gpo-lastig... und geh im moment die möglichkeiten im kopf durch, ohne dass ich es weiß
derzeit läufts so ähnlich wie in meinem zweiten beispiel (gpos global, für einzelne abteilungen, sowie standrechner und notebooks) und funktioniert auch wunderbar.

inwiefern wärs jetzt ein vorteil diese sachen auf gruppenebene zu administrieren und nicht per ou?

spunz schrieb am 19.11.2008 um 19:10

du kannst gpo´s an höchster ebene binden und vip´s und co relativ einfach davon ausnehmen. grundsätzlich würde ich soviel wie möglich zusammenfassen. jede gpo erzeugt "overhead" den der client abarbeiten muss. grundsätzlich spricht aber nichts gegen einen mix beider konzepte.

wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen.

HitTheCow schrieb am 25.11.2008 um 13:06

Zitat von spunz
wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen.

bitte um nähere ausführung.

edit: hab mal bisschen am temp-server gebastelt

ich denk mir, wenn alle gpos möglichst weit oben (in der hierarchie) liegen und dann erst mal alle verknüpfungen erstellt wurden, dürfte das ganze ja relativ einfach zu administrieren sein (ich sehs mal von der gpo seite aus).
das ganze zu beginn neu einrichten dauert zwar sicher seine zeit, dafür ists nachher schön aufgeräumt und man kann relativ schnell änderungen durchführen, oder?

bin für jeden input zu haben