13
AD neu aufbauen
Guten Tag,
wir haben ein bestehendes Active Directory mit ca. 300 Usern, 60 Computern und einer Exchange Anbindung.
Da das Active Directory über Jahrzehnte gewachsen ist und auch eine Domänenumbenennung mitgemacht hat, habe ich den Auftrag erhalten unser Active Directory einmal sauber neu aufzubauen. Hier sollen allerdings bestenfalls die User Accounts, Gruppenrichtlinien usw. mit übernommen werden.
Hier nun meine Frage. Ist das ganze überhaupt möglich ohne die Altlasten gleich mit zu übernehmen? Gibt es eine Beschreibung wie dies am besten von statten gehen soll?
Vielen Dank für Eure Antworten.
Eric
wir haben ein bestehendes Active Directory mit ca. 300 Usern, 60 Computern und einer Exchange Anbindung.
Da das Active Directory über Jahrzehnte gewachsen ist und auch eine Domänenumbenennung mitgemacht hat, habe ich den Auftrag erhalten unser Active Directory einmal sauber neu aufzubauen. Hier sollen allerdings bestenfalls die User Accounts, Gruppenrichtlinien usw. mit übernommen werden.
Hier nun meine Frage. Ist das ganze überhaupt möglich ohne die Altlasten gleich mit zu übernehmen? Gibt es eine Beschreibung wie dies am besten von statten gehen soll?
Vielen Dank für Eure Antworten.
Eric
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7025467028
Url: https://administrator.de/contentid/7025467028
Printed on: April 27, 2024 at 12:04 o'clock
13 Comments
Latest comment
Moin,
wenn du das AD neu machst nimmst du naturgemäß keine Altlasten mit, du machst maximal die gleichen Fehler noch einmal. Was genau versprecht ihr euch denn davon? Wo liegen aktuell die Probleme?
/Thomas
wenn du das AD neu machst nimmst du naturgemäß keine Altlasten mit, du machst maximal die gleichen Fehler noch einmal. Was genau versprecht ihr euch denn davon? Wo liegen aktuell die Probleme?
/Thomas
Salut,
die GPOs kannst du exportieren und in einer neuen Struktur wieder importieren.
Die Useraccounts können meines Wissens nach auch migriert werden, dürfen nicht neu angelegt werden, da du ansonsten neue SIDs erhältst.
Es gibt aber sicherlich noch mehr Querverbindungen zu berücksichtigen als nur User und GPOs.
Erstellst du eine separate Domain, soll die Domain bleiben, existieren ggf. Verbindungen zu MS 365, etc.
Also ganz pauschal lässt sich das nicht beantworten.
Grüße
ToWa
die GPOs kannst du exportieren und in einer neuen Struktur wieder importieren.
Die Useraccounts können meines Wissens nach auch migriert werden, dürfen nicht neu angelegt werden, da du ansonsten neue SIDs erhältst.
Es gibt aber sicherlich noch mehr Querverbindungen zu berücksichtigen als nur User und GPOs.
Erstellst du eine separate Domain, soll die Domain bleiben, existieren ggf. Verbindungen zu MS 365, etc.
Also ganz pauschal lässt sich das nicht beantworten.
Grüße
ToWa
Hi,
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Gruß
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Gruß
Zitat von @Th0mKa:
Moin,
wenn du das AD neu machst nimmst du naturgemäß keine Altlasten mit, du machst maximal die gleichen Fehler noch einmal. Was genau versprecht ihr euch denn davon? Wo liegen aktuell die Probleme?
/Thomas
Moin,
wenn du das AD neu machst nimmst du naturgemäß keine Altlasten mit, du machst maximal die gleichen Fehler noch einmal. Was genau versprecht ihr euch denn davon? Wo liegen aktuell die Probleme?
/Thomas
Hi,
unser IT Leiter erhofft sich das einige fehlerhafte Einträge aus dem AD verschwinden. So werden unter dem Attribut "legacyExchangeDN" z.B. noch Daten der Domain angezeigt, die vor 15 Jahren geändert wurde. Sprich "richtige" Probleme sind nicht direkt zu erkennen, sondern mehr Schönheitsfehler.
Es hängt im Endeffekt vom Aufwand ab, ob es sich lohnt das AD neu zu erstellen. Ich denke, dass der Aufwand deutlich zu groß wäre, aber da es ein Projekt ist, was ich so bisher noch nie gemacht habe, finde ich es zumindest reizvoll und prüfe ob wir es doch machen sollen.
Gibt es aus eurer Erfahrung denn einen rationalen Grund ein AD jemals neu zu strukturieren? Wenn nicht grobe Fehler dafür sprechen würden.
Zitat von @killtec:
Hi,
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Gruß
Hi,
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Gruß
Gucke ich mir auf alle Fälle mal an. Dankeschön.
Zitat von @TripleB:
unser IT Leiter erhofft sich das einige fehlerhafte Einträge aus dem AD verschwinden. So werden unter dem Attribut "legacyExchangeDN" z.B. noch Daten der Domain angezeigt, die vor 15 Jahren geändert wurde.
unser IT Leiter erhofft sich das einige fehlerhafte Einträge aus dem AD verschwinden. So werden unter dem Attribut "legacyExchangeDN" z.B. noch Daten der Domain angezeigt, die vor 15 Jahren geändert wurde.
Salut,
kann ich verstehen habe ich bei uns aus dem Grunde auch so gemacht.
Eine über Urzeiten gewachsene Struktur ohne Pflege inkl. inkorrekter Entfernung eines lokalen Exchange und unprofessionelle Anbindung eines Exchange Online.
Ich habe tatsächlich gar nichts übernommen, parallel eine neue Domain hochgezogen, welche als Authentifizierung "identisch" ist, also der lokale Domainname war vorher xxxx.lan und ich habe mir eine öffentliche Domain mit xxxx.work ausgesucht (da .de bereits vergeben war).
Damit gab es dann intern.xxxx.work und die Benutzerkonten waren übergangsweise in beiden Domains angelegt, Passwortänderung wurde verboten. Damit konnte auch ohne Vertrauensstellung zwischen den Systemen eine Authentifizierung erfolgen.
Die Endgeräte wurden sukzessive auf die neue Domain umgestellt und die User manuell portiert.
Das ging bei 80 Clients ganz gut und ziemlich reibungslos, bei 300 Clients würde ich das aber nicht so machen.
Grüße
ToWa
1
Moin,
Was meinst Du denn, was das Tool mit dem Eintrag legacyExchangeDN macht, wenn Du die User in die neue Domain importierst? Wenn es also darum geht, fehlerhafte Einträge bei den Attributen zu korrigieren, dann wirst Du um die händische Fleißarbeit nicht herum kommen.
Liebe Grüße
Erik
Zitat von @TripleB:
Zitat von @killtec:
Hi,
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Hi,
um die User und Gruppen zu übernehmen schau dir mal das ADMT von MS an (Active Directory Migration Tool).
Damit habe ich auch schon ein paar male Domänen zusammen geüfhrt.
Gucke ich mir auf alle Fälle mal an. Dankeschön.
Was meinst Du denn, was das Tool mit dem Eintrag legacyExchangeDN macht, wenn Du die User in die neue Domain importierst? Wenn es also darum geht, fehlerhafte Einträge bei den Attributen zu korrigieren, dann wirst Du um die händische Fleißarbeit nicht herum kommen.
Liebe Grüße
Erik
Ich hab zwar sowas noch nie in der Größe durchgezogen, jedoch hatte ich schon bei kleinerer Größen genug Probleme bzw. Aufwand, dass ich mir das für "Schönheitsfehler" nicht nochmal antun würde.
Der Ablauf wie @dertowa schreibt ist das was ich auch machen würde.
Ich würde mir an deiner Stelle mal diese Fragen stellen:
- Wie sehr stören mich die Schönheitsfehler?
- Habe ich aktuell nicht andere Projekte, die wirklich den Ablauf beeinträchtigen oder zu mindest gefärden?
- Kann die Firma es sich aktuell leisten so eine große Umstellung zu bezahlen? Zeitaufwand der IT + Umgewöhnung und Arbeitsausfall bei den Mitarbeitern. Evtl. solltest du in dem Zuge auch gleich auf die neue Serverversion migrieren und dafür Lizenzen anschaffen.
Wenn also sowohl du als auch die Mitarbeiter genug Zeit haben und nicht in anderen Projekten sowieso schon ersaufen. Die Firma finanziell gut da steht. Und die Kosten/Aufwand im Verhältnis zu den zu erwartenden Verbesserungen steht, dann solltet ihr das angehen. Wenn nicht lasst es lieber.
Der Ablauf wie @dertowa schreibt ist das was ich auch machen würde.
Ich würde mir an deiner Stelle mal diese Fragen stellen:
- Wie sehr stören mich die Schönheitsfehler?
- Habe ich aktuell nicht andere Projekte, die wirklich den Ablauf beeinträchtigen oder zu mindest gefärden?
- Kann die Firma es sich aktuell leisten so eine große Umstellung zu bezahlen? Zeitaufwand der IT + Umgewöhnung und Arbeitsausfall bei den Mitarbeitern. Evtl. solltest du in dem Zuge auch gleich auf die neue Serverversion migrieren und dafür Lizenzen anschaffen.
Wenn also sowohl du als auch die Mitarbeiter genug Zeit haben und nicht in anderen Projekten sowieso schon ersaufen. Die Firma finanziell gut da steht. Und die Kosten/Aufwand im Verhältnis zu den zu erwartenden Verbesserungen steht, dann solltet ihr das angehen. Wenn nicht lasst es lieber.
1
Eine andere Idee wäre natürlich auch zu schauen, ob man diese Fehler nicht korrigiert bekommt via Powershell.
Hi,
manche finden wirklich für jede Lösung ein Problem.
Ich sehe es wie @madnem:
Lasst es sein.
Wenn es eine technische Notwendigkeit gibt, z.B. weil etwas nicht (mehr) funktioniert oder etwas neues nicht implementiert werden kann, weil irgendwas im AD nicht passt und auch nicht geändert werden kann, dann kann es sich u.U. lohnen, sowas zu machen.
Aber sonst? Hallo? Langeweile? Zu viel Geld?
Um beim konkret genanntem Beispiel zu bleiben: legacyExchangeDN
Wo taucht dieser denn auf auf, dass dieser als derart störend wahrgenommen wird, dass man das ändern will/muss?
Namen sind bloß Schall und Rauch.
Unsere Firma wurde vor 2 Jahren umfirmiert. Anderer Name. Unsere AD Domäne heißt immer noch wie früher. Die AD-Gruppen und GPO und sonstwas haben immer noch die Kennung unseres alten Firmennamens. usw.
Und wir leben trotzdem noch.
Wir haben nur unsere Mail Domain geändert. Und schon das war nicht ohne, da die alte Domain demnächst ganz wegfallen soll. Frag mal Eure Anwender in der Runde, ob sie Dir spontan ALLE Stellen nennen können, wo sie ihre alte Email-Adresse verwendet haben. Als Kontaktdaten, als Anmeldename bei irgendwelchen Portalen, usw. usw.
Wer mal so richtig, aber sowas von richtig, sauber machen will, dem empfehle ich den Meister Propper. Oder Cilit Gang Bang. Waschbenzin geht auch, riecht bloß komisch.
E.
manche finden wirklich für jede Lösung ein Problem.
Ich sehe es wie @madnem:
Lasst es sein.
Wenn es eine technische Notwendigkeit gibt, z.B. weil etwas nicht (mehr) funktioniert oder etwas neues nicht implementiert werden kann, weil irgendwas im AD nicht passt und auch nicht geändert werden kann, dann kann es sich u.U. lohnen, sowas zu machen.
Aber sonst? Hallo? Langeweile? Zu viel Geld?
Um beim konkret genanntem Beispiel zu bleiben: legacyExchangeDN
Wo taucht dieser denn auf auf, dass dieser als derart störend wahrgenommen wird, dass man das ändern will/muss?
Namen sind bloß Schall und Rauch.
Unsere Firma wurde vor 2 Jahren umfirmiert. Anderer Name. Unsere AD Domäne heißt immer noch wie früher. Die AD-Gruppen und GPO und sonstwas haben immer noch die Kennung unseres alten Firmennamens. usw.
Und wir leben trotzdem noch.
Wir haben nur unsere Mail Domain geändert. Und schon das war nicht ohne, da die alte Domain demnächst ganz wegfallen soll. Frag mal Eure Anwender in der Runde, ob sie Dir spontan ALLE Stellen nennen können, wo sie ihre alte Email-Adresse verwendet haben. Als Kontaktdaten, als Anmeldename bei irgendwelchen Portalen, usw. usw.
Wer mal so richtig, aber sowas von richtig, sauber machen will, dem empfehle ich den Meister Propper. Oder Cilit Gang Bang. Waschbenzin geht auch, riecht bloß komisch.
E.
3Zitat von @TripleB:
unser IT Leiter erhofft sich das einige fehlerhafte Einträge aus dem AD verschwinden. So werden unter dem Attribut "legacyExchangeDN" z.B. noch Daten der Domain angezeigt, die vor 15 Jahren geändert wurde. Sprich "richtige" Probleme sind nicht direkt zu erkennen, sondern mehr Schönheitsfehler.
unser IT Leiter erhofft sich das einige fehlerhafte Einträge aus dem AD verschwinden. So werden unter dem Attribut "legacyExchangeDN" z.B. noch Daten der Domain angezeigt, die vor 15 Jahren geändert wurde. Sprich "richtige" Probleme sind nicht direkt zu erkennen, sondern mehr Schönheitsfehler.
Dazu sag ich "If It Ain’t Broke, Don’t Fix It" 😁
/Thomas
1
N'Abend.
Kann mich @emeriks nur anschließen. Wenn's technisch läuft, dann lass es laufen.
Falls du dich zu einem Neuaufbau entscheidest: Nix übernehmen. Lieber Konzept/Aufbau des alten AD überdenken und ein neues, "moderneres" AD von Grund auf neu erstellen. Viele GPOs z.B. "passen" nicht mehr, wenn es eine neue Struktur in den OUs gibt etc.
Cheers,
jsysde
Kann mich @emeriks nur anschließen. Wenn's technisch läuft, dann lass es laufen.
Falls du dich zu einem Neuaufbau entscheidest: Nix übernehmen. Lieber Konzept/Aufbau des alten AD überdenken und ein neues, "moderneres" AD von Grund auf neu erstellen. Viele GPOs z.B. "passen" nicht mehr, wenn es eine neue Struktur in den OUs gibt etc.
Cheers,
jsysde
1
Hi!
Gibt's keinen triftigen Grund für einen Neuaufbau, ausser der CIO bildet sich das gerade ein,dann würd ich das nicht machen.
Klingt mehr nach Arbeitsbeschaffungsmassnahme als nach einem zu Ende gedachten Projekt.
Engagiert einen Pentester oder Microsoft um die AD einem Health Check zu unterziehen und märzt Schönheitsfehler und Sicherheitslücken aus.
Gr.W.
Gibt's keinen triftigen Grund für einen Neuaufbau, ausser der CIO bildet sich das gerade ein,dann würd ich das nicht machen.
Klingt mehr nach Arbeitsbeschaffungsmassnahme als nach einem zu Ende gedachten Projekt.
Engagiert einen Pentester oder Microsoft um die AD einem Health Check zu unterziehen und märzt Schönheitsfehler und Sicherheitslücken aus.
Gr.W.