Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst AGDLP nur für Multi-Domänen-Umgebung?

Mitglied: Jokesoft

Jokesoft (Level 1) - Jetzt verbinden

07.12.2007, aktualisiert 08.12.2007, 18503 Aufrufe, 4 Kommentare

Ich prügel mich gerade durch die ersten MCSA-Zertifizierungen und bin dabei über folgendes gestolpert:

Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP

Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.

Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.

Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.

Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Mitglied: spacyfreak
08.12.2007 um 07:24 Uhr
Der MCSE ist zwar paar Jahre her, aber woran ich mich noch erinnere:

Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.

Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.

Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.

Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.

Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.

Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.

Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 20:57 Uhr
Hallo einfach-mal-die-klappe-halten,
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
Bitte warten ..
Mitglied: spacyfreak
08.12.2007 um 21:16 Uhr
Das kann man doch letztendlich machen wie man moechte.

Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".

Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.

Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.

Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.

Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.

Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.

So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.

Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.



Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 22:05 Uhr
Ich dachte nur, dass es eventuell weitere Konzepte gibt, um einen erneuten Wildwuchs zu verhindern.
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Berechtigungskonzept AGDLP
gelöst Frage von redhorseWindows Netzwerk6 Kommentare

Guten Tag, wir richten uns bei unserem Berechtigungskonzept im ActiveDirectory derzeit strikt nach dem AGDLP-Prinzip, das aus meiner Sicht ...

Windows Server

AGDLP richtig umsetzen ! Kann man es so machen ?

Frage von MartinLWindows Server2 Kommentare

Hallo liebe Admin Gemeinde, wollte mich nun doch mal mit dem AGDLP-Prinzip auseinandersetzen. Da wir sehr klein sind ging ...

Exchange Server

Braucht VM-Umgebung eine Domäne? Exchange Server 2010

Frage von infostudExchange Server5 Kommentare

Hallo zusammen, bin ein richtiger Newbee was Exchange angeht. Hab mich etwas eingelesen und auch eigenständig meine Umgebung erstellt ...

Peripheriegeräte

Multi-Boot mit USB

gelöst Frage von DevCodePeripheriegeräte13 Kommentare

Hallo Leute, habe folgendes Problem Ich versuche bereits seit Stunden einen USB-Stick zu erstellen der verschiedene Betriebssysteme enthält. Der ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 StundeDrucker und Scanner

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 17 StundenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 3 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 3 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

LAN, WAN, Wireless
Bandbreitenverteilung Netzwerk Linux NAS Qnap
Frage von Re-AnimatorLAN, WAN, Wireless18 Kommentare

Hallo Allerseits, ich habe hier im Netzwerk ein Problem mit der Bandbreite für das ich keine Erklärung habe! und ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte15 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server13 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...