Active Directory Struktur

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6376

14.11.2008 - 11:01

mich würd mal interessieren wie bei "euch" so die AD strukturen in der firma sind.
wir (ich) sind (bin) grad am umstellen / zusammenlegen von derzeit einzelnen domains (geographisch verteilte standorte) zu einem forrest. migrationstests usw usf hab ich schon hinter mir, wollte mir jetzt eine ordentliche struktur überlegen, wie das ganze verwaltungstechnisch und übersichtlich am geschicktesten ist.
vor allem gehts mir um eine optimale struktur bzgl. einfacher verwaltung von gruppenrichtlinien für einzelne standorte, gruppen, personen, ...
derzeit hat noch jeder standort sein eigenes süppchen bzgl. anmeldeskripts, sicherheitsrichtlinien, ... soll aber in dessen zuge zusammengelegt und vereinheitlicht werden.

ich fang einfach mal an, was mir so durch den kopf gegangen ist:

Code:

*domain
 -plant01
   -groups
     -localgroups
     -globalgroups
   -divisions
     -division01
     -division02
     -division03
        -user
        -desktops
        -notebooks
     -divison04
 -plant02
 -...

oder lieber

Code:

*domain
 -plant01
   -groups
   -divions01
      -user from divison01
   -divions02
   -division03
   -...
   -desktops
   -notebooks
   -server

oder komplett anders?

v.a. gehts um anmelde/-logonscripts für abteilungslaufwerke, desktopverknüpfungen für programme, sicherheitsrichtlinien für div. programme, automatische installation bzw. ausrollen von programmen (virenscanner, firewalleinstellungen, vnc-freigaben) usw. usf...

ich bin für alle vorschläge offen!
tia, htc

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

14.11.2008 - 11:47

Ich war zwar beim aufziehen der Domain bei uns in der Firma mit beteiligt, aber bin alles andere als ein Experte und bei uns ist die Lösung (glaube ich) nicht optimal.

Dafür kann ich aber eine - wie ich finde - gute Anlaufstelle bieten:
http://msadfaq.de/wiki/Main_Page -> http://msadfaq.de/wiki/ActiveDirectory/Design

HP

Legend
Moneymaker

Registered: Mar 2000
Location: Wien
Posts: 21813

14.11.2008 - 12:17

Wieviele Administratoren verwalten das AD?

dethspank

the wall

Registered: Dec 2005
Location: Mödling
Posts: 3780

14.11.2008 - 12:19

--- pls delete posting ---

Bearbeitet von dethspank am 14.11.2008, 13:39

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6376

15.11.2008 - 12:34

Derzeit gehts um 5 Standorte - überall sitzen im Schnitt 3 IT Seute.
Vor "kurzem" kam noch ein Rechenzentrum dazu, dort stehen derzeit die 2 "neuen" DCs, sowie einige Anwendungsserver.
Diese werden vorwiegend von einem Administrator von (nicht meinem) Standort betreut.
In jedem Standort soll in weiterer Folge (mindestens) ein weiterer DC stehen.

Code:

                     DC1-DC2 (Rechenzentrum)
      _____________|____________
     |     |     |      |     |
 DC_S1  DC_S2  DC_S3  DC_S4  DC_S5

Am "schönsten" wäre es natürlich wenn das meiste (vorwiegend GPOs) weit oben in der Hierarchie stehen würde, damit eine zentrale Administration möglich ist, aber das ist eh nicht so das Problem. Eher ginge es mir um die logische Aufteilung innerhalb des Standorts

@jives: danke für die links - werd ich mir gleich anschauen

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6376

16.11.2008 - 12:32

hat noch jemande praktische beispiele?

jives link ist zwar eine sehr gute zusammenfassung / linksammlung, aber mich würden eure erfahrungsberichte mehr interessieren -> vor- und nachteile von verschiedenen strukturen

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11216

16.11.2008 - 13:01

Code:

land1
   standort1
     users
     groups
     computer
   standort2
     users
     groups
     computer
land2
   standort1
     users
     groups
     computer
   standort2
     users
     groups
     computer

keep it simple, runterbrechen auf abteilungen würde auf gruppenebene und nicht per ou.

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6376

19.11.2008 - 15:31

hmm...
land / standort ist schonmal nicht schlecht (an "land" hab ich gar nicht gedacht).
deine lösung hab ich mir jetzt mal durch den kopf gehen lassen. find ich jetzt auf die schnelle aber eine spur komplizierter und unübersichtlicher (obwohls einfacher aufgebaut ist), wahrscheinlich weil ichs eben anders gewöhnt bin. vielleicht denk ich auch gerade zu sehr gpo-lastig... und geh im moment die möglichkeiten im kopf durch, ohne dass ich es weiß

derzeit läufts so ähnlich wie in meinem zweiten beispiel (gpos global, für einzelne abteilungen, sowie standrechner und notebooks) und funktioniert auch wunderbar.

inwiefern wärs jetzt ein vorteil diese sachen auf gruppenebene zu administrieren und nicht per ou?

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11216

19.11.2008 - 19:10

du kannst gpo´s an höchster ebene binden und vip´s und co relativ einfach davon ausnehmen. grundsätzlich würde ich soviel wie möglich zusammenfassen. jede gpo erzeugt "overhead" den der client abarbeiten muss. grundsätzlich spricht aber nichts gegen einen mix beider konzepte.

wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen.

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6376

25.11.2008 - 13:06

Zitat von spunz
wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen.

?

bitte um nähere ausführung.

edit: hab mal bisschen am temp-server gebastelt

ich denk mir, wenn alle gpos möglichst weit oben (in der hierarchie) liegen und dann erst mal alle verknüpfungen erstellt wurden, dürfte das ganze ja relativ einfach zu administrieren sein (ich sehs mal von der gpo seite aus).
das ganze zu beginn neu einrichten dauert zwar sicher seine zeit, dafür ists nachher schön aufgeräumt und man kann relativ schnell änderungen durchführen, oder?

bin für jeden input zu haben

Bearbeitet von HitTheCow am 25.11.2008, 14:09

HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6376	14.11.2008 - 11:01 mich würd mal interessieren wie bei "euch" so die AD strukturen in der firma sind. wir (ich) sind (bin) grad am umstellen / zusammenlegen von derzeit einzelnen domains (geographisch verteilte standorte) zu einem forrest. migrationstests usw usf hab ich schon hinter mir, wollte mir jetzt eine ordentliche struktur überlegen, wie das ganze verwaltungstechnisch und übersichtlich am geschicktesten ist. vor allem gehts mir um eine optimale struktur bzgl. einfacher verwaltung von gruppenrichtlinien für einzelne standorte, gruppen, personen, ... derzeit hat noch jeder standort sein eigenes süppchen bzgl. anmeldeskripts, sicherheitsrichtlinien, ... soll aber in dessen zuge zusammengelegt und vereinheitlicht werden. ich fang einfach mal an, was mir so durch den kopf gegangen ist: Code: `domain -plant01 -groups -localgroups -globalgroups -divisions -division01 -division02 -division03 -user -desktops -notebooks -divison04 -plant02 -...` oder lieber Code: `domain -plant01 -groups -divions01 -user from divison01 -divions02 -division03 -... -desktops -notebooks -server` oder komplett anders? v.a. gehts um anmelde/-logonscripts für abteilungslaufwerke, desktopverknüpfungen für programme, sicherheitsrichtlinien für div. programme, automatische installation bzw. ausrollen von programmen (virenscanner, firewalleinstellungen, vnc-freigaben) usw. usf... ich bin für alle vorschläge offen! tia, htc
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	14.11.2008 - 11:47 Ich war zwar beim aufziehen der Domain bei uns in der Firma mit beteiligt, aber bin alles andere als ein Experte und bei uns ist die Lösung (glaube ich) nicht optimal. Dafür kann ich aber eine - wie ich finde - gute Anlaufstelle bieten: http://msadfaq.de/wiki/Main_Page -> http://msadfaq.de/wiki/ActiveDirectory/Design
HP Legend Moneymaker Registered: Mar 2000 Location: Wien Posts: 21813	14.11.2008 - 12:17 Wieviele Administratoren verwalten das AD?
dethspank the wall Registered: Dec 2005 Location: Mödling Posts: 3780	14.11.2008 - 12:19 --- pls delete posting --- Bearbeitet von dethspank am 14.11.2008, 13:39
HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6376	15.11.2008 - 12:34 Derzeit gehts um 5 Standorte - überall sitzen im Schnitt 3 IT Seute. Vor "kurzem" kam noch ein Rechenzentrum dazu, dort stehen derzeit die 2 "neuen" DCs, sowie einige Anwendungsserver. Diese werden vorwiegend von einem Administrator von (nicht meinem) Standort betreut. In jedem Standort soll in weiterer Folge (mindestens) ein weiterer DC stehen. Code: `DC1-DC2 (Rechenzentrum) _____________\|____________ \| \| \| \| \| DC_S1 DC_S2 DC_S3 DC_S4 DC_S5` Am "schönsten" wäre es natürlich wenn das meiste (vorwiegend GPOs) weit oben in der Hierarchie stehen würde, damit eine zentrale Administration möglich ist, aber das ist eh nicht so das Problem. Eher ginge es mir um die logische Aufteilung innerhalb des Standorts @jives: danke für die links - werd ich mir gleich anschauen
HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6376	16.11.2008 - 12:32 hat noch jemande praktische beispiele? jives link ist zwar eine sehr gute zusammenfassung / linksammlung, aber mich würden eure erfahrungsberichte mehr interessieren -> vor- und nachteile von verschiedenen strukturen
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11216	16.11.2008 - 13:01 Code: `land1 standort1 users groups computer standort2 users groups computer land2 standort1 users groups computer standort2 users groups computer` keep it simple, runterbrechen auf abteilungen würde auf gruppenebene und nicht per ou.
HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6376	19.11.2008 - 15:31 hmm... land / standort ist schonmal nicht schlecht (an "land" hab ich gar nicht gedacht). deine lösung hab ich mir jetzt mal durch den kopf gehen lassen. find ich jetzt auf die schnelle aber eine spur komplizierter und unübersichtlicher (obwohls einfacher aufgebaut ist), wahrscheinlich weil ichs eben anders gewöhnt bin. vielleicht denk ich auch gerade zu sehr gpo-lastig... und geh im moment die möglichkeiten im kopf durch, ohne dass ich es weiß derzeit läufts so ähnlich wie in meinem zweiten beispiel (gpos global, für einzelne abteilungen, sowie standrechner und notebooks) und funktioniert auch wunderbar. inwiefern wärs jetzt ein vorteil diese sachen auf gruppenebene zu administrieren und nicht per ou?
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11216	19.11.2008 - 19:10 du kannst gpo´s an höchster ebene binden und vip´s und co relativ einfach davon ausnehmen. grundsätzlich würde ich soviel wie möglich zusammenfassen. jede gpo erzeugt "overhead" den der client abarbeiten muss. grundsätzlich spricht aber nichts gegen einen mix beider konzepte. wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen.
HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6376	25.11.2008 - 13:06 Zitat von spunz wenn man diverse einstellungen gleich in ein desktop management tool verlagert, kann man einiges an zeit gewinnen. ? bitte um nähere ausführung. edit: hab mal bisschen am temp-server gebastelt ich denk mir, wenn alle gpos möglichst weit oben (in der hierarchie) liegen und dann erst mal alle verknüpfungen erstellt wurden, dürfte das ganze ja relativ einfach zu administrieren sein (ich sehs mal von der gpo seite aus). das ganze zu beginn neu einrichten dauert zwar sicher seine zeit, dafür ists nachher schön aufgeräumt und man kann relativ schnell änderungen durchführen, oder? bin für jeden input zu haben Bearbeitet von HitTheCow am 25.11.2008, 14:09

Active Directory Struktur

Forum Index > Software > Windows

HitTheCow

jives

HP

dethspank

HitTheCow

HitTheCow

spunz

HitTheCow

spunz

HitTheCow