Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst AGDLP nur für Multi-Domänen-Umgebung?

Mitglied: Jokesoft

Jokesoft (Level 1) - Jetzt verbinden

07.12.2007, aktualisiert 08.12.2007, 18571 Aufrufe, 4 Kommentare

Ich prügel mich gerade durch die ersten MCSA-Zertifizierungen und bin dabei über folgendes gestolpert:

Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP

Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.

Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.

Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.

Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Mitglied: spacyfreak
08.12.2007 um 07:24 Uhr
Der MCSE ist zwar paar Jahre her, aber woran ich mich noch erinnere:

Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.

Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.

Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.

Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.

Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.

Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.

Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 20:57 Uhr
Hallo einfach-mal-die-klappe-halten,
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
Bitte warten ..
Mitglied: spacyfreak
08.12.2007 um 21:16 Uhr
Das kann man doch letztendlich machen wie man moechte.

Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".

Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.

Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.

Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.

Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.

Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.

So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.

Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.



Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 22:05 Uhr
Ich dachte nur, dass es eventuell weitere Konzepte gibt, um einen erneuten Wildwuchs zu verhindern.
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Berechtigungskonzept AGDLP
gelöst Frage von redhorseWindows Netzwerk6 Kommentare

Guten Tag, wir richten uns bei unserem Berechtigungskonzept im ActiveDirectory derzeit strikt nach dem AGDLP-Prinzip, das aus meiner Sicht ...

Windows Server

AGDLP richtig umsetzen ! Kann man es so machen ?

Frage von MartinLWindows Server2 Kommentare

Hallo liebe Admin Gemeinde, wollte mich nun doch mal mit dem AGDLP-Prinzip auseinandersetzen. Da wir sehr klein sind ging ...

Exchange Server

Braucht VM-Umgebung eine Domäne? Exchange Server 2010

Frage von infostudExchange Server5 Kommentare

Hallo zusammen, bin ein richtiger Newbee was Exchange angeht. Hab mich etwas eingelesen und auch eigenständig meine Umgebung erstellt ...

Peripheriegeräte

Multi-Boot mit USB

gelöst Frage von DevCodePeripheriegeräte13 Kommentare

Hallo Leute, habe folgendes Problem Ich versuche bereits seit Stunden einen USB-Stick zu erstellen der verschiedene Betriebssysteme enthält. Der ...

Neue Wissensbeiträge
Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 1 StundeSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 1 StundeWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 4 StundenCMS3 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 1 TagSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Heiß diskutierte Inhalte
Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet15 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Festplatten, SSD, Raid
LSI 9361 Controller, versehentlich virtual Drive am Controller gelöscht
Frage von pixel24Festplatten, SSD, Raid12 Kommentare

Hallo zusammen, gibt es hier einen Experten der sich gut mit LSI MegaRAID auskennt? Ich habe versehentlich im Controller-BIOS ...