Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory Struktur in einer Firma mit Abteilungen

Frage Microsoft Windows Userverwaltung

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

26.10.2014, aktualisiert 28.10.2014, 4103 Aufrufe, 20 Kommentare, 3 Danke

Hallo,

ich tüftle gerade daran, wie ich die neue AD Struktur erstellen könnte und nach langem Hin- und Herlesen bin ich leider nicht ganz schlüssig geworden. Ich möchte versuchen so flach wie möglich zu bleiben, und beabsichtige kein geografisches Modell zu nutzen (also nicht nach Ländern, Filialen, oder Gebäuden, Etagen, usw...) die Firma ist nicht besonders groß und das wäre nur unnötig komplex meiner Ansicht nach.

ich habe zwei Varianten, bin mir aber nicht sicher welche Vor-/Nachteile diese bieten:

(1):
Im Stamm meiner AD-Domäne "corp.meinefirma.com" habe ich erstmal eine neue OU namens "Meine Firma GmbH" erstellt. Darin dann jeweils neue OUs erstellt, welche die einzelnen Abteilungen darstellen. Und in all diesen Abteilungs-OUs habe ich jeweils eine weitere OU erstellt namens "Arbeitsstationen" und "Benutzer". Eine extra OU unterhalb meiner Firma namens "Gruppen" soll die Sicherheitsgruppen beinhalten. Das sieht ungefähr so aus, wobei ich hier auch die defaultmässigen mit aufgeführt habe, da ich diese nicht löschen oder bewegen kann:

[Active Directory Users and Computers:]
..corp.meinefirma.com
....Domain Controllers
....ForeignSecurityPrincipals
....Computers
....Builtin
....Users
....Meine Firma GmbH
.......Gruppen
.......Vertrieb
.............Arbeitsstationen
.............Benutzer
.......Einkauf
.............Arbeitsstationen
.............Benutzer
.......Marketing
.............Arbeitsstationen
.............Benutzer

(2):
die andere Möglichkeit wäre eben, dass ich vorher schon zwischen "Arbeitsstationen" und "Benutzer" unterscheide, also so ...

[Active Directory Users and Computers:]
..corp.meinefirma.com
....Domain Controllers
....ForeignSecurityPrincipals
....Computers
....Builtin
....Users
....Meine Firma GmbH
.......Gruppen
.......Arbeitsstationen
............Vertrieb
............Einkauf
............Marketing
.......Benutzer
............Vertrieb
............Einkauf
............Marketing


Ich wüßte echt nicht, welche Vor-/Nachteile zwischen Variante 1 oder 2 vor allem in Bezug, falls ich GPOs verteilen möchte später im laufenden Betrieb. Bin für jeden Tip und Erklärung sehr dankbar.

Grüße,
Pangu
Mitglied: xbast1x
27.10.2014 um 07:42 Uhr
Hallo Pangu,

wir haben die AD Struktur zwischen Abteilungen (Benutzer) unterschieden. Die Clients laufen unter einer OU. Bisher sehe ich keine Nachteile. Wenn die Clientrechner unterschiedliche Konfigurationen haben sollen, bietet sich eventuelle eine Aufteilung nach Abteilung an. Ist dies nicht der Fall, kannst du die Clients in eine OU packen.
Bitte warten ..
Mitglied: panguu
27.10.2014 um 10:03 Uhr
? Hab ich jetzt nicht ganz verstanden. Meinst du also ich solle eher (1) oder (2) anstreben?
Bitte warten ..
Mitglied: xbast1x
27.10.2014 um 10:06 Uhr
Das Kommt darauf an wie ihr aufgestellt seid. Wie ich bereits geschrieben habe, haben die Rechner alle die gleichen Konfiguration (Softwareverteilung, GPO, etc.) reicht es aus, wenn du eine OU für alle machst. Gibt es Unterschiede in den Abteilung was die Clientkonfig angeht, macht es Sinn die OU's weiter zu splitten.
Bitte warten ..
Mitglied: panguu
27.10.2014, aktualisiert um 19:24 Uhr
Wie also sieht es bei dir aus, wenn du sagst, du hast zwischen Abteilungen/Benutzern unterschieden? Ich weiß noch nicht, welche Einstellungen in Zukunft die einzelnen Arbeitsstationen bzw. Benutzer erhalten werden, das kann ich einfach noch nicht absehen. Vor allem deswegen nicht, weil ich bisher nie mit GPOs gearbeitet habe. Sicherlich werde ich die einen oder anderen "settings" per GPO übertragen wollen. Splitten werde ich die sowieso, meine Frage bezog sich aber eher daraufhin, ob lieber Variante (1) oder (2) bzw. welche Unterschiede das ausmachen würde im Praxisbetrieb.
Bitte warten ..
Mitglied: ITvortex
27.10.2014, aktualisiert um 10:31 Uhr
Hallo panguu,

ich habe es bei uns so eingerichtet:

1 OU für User und die Unterteilungen für die Computerkonten in 4 OU's (workstations, NB, TS_User, Email_Only)


Je nachdem wer was verwendet, kommt nur das Computerkonto in die entsprechende OU, die User bleiben alle in einer OU.

xbast1y meint:

OU1 = Einkauf
OU2 = Verkauf
usw...


Du musst in deinem Fall selber entscheiden wie du es handhaben willst, natürlich entsprechend der User Zahl usw...

Liebe Grüße
ITvortex
Bitte warten ..
Mitglied: panguu
27.10.2014 um 10:28 Uhr
Hi ITvortex,

das hat jetzt bei mir für mehr Verwirrung gesorgt :d Du sprichst von Gruppen? das verwirrt mich nun. Ich dachte Gruppen sind dazu da, um Sicherheitseinstellungen zu definieren, bzw. um eine Verteilerliste (z.B. für Exchange) zu definieren. Zum Zeitpunkt als ich meine Frage postete, dachte ich eigentlich, ich müsse meine Struktur aufbauen indem ich OUs erstelle und sie eben entsprechend verschachteln tue, da ja GPOs auf OUs angewendet werden. Bitte korrigiert mich falls ich falsch liegen sollte, dann hab ich wohl was falsch verstanden.
Bitte warten ..
Mitglied: ITvortex
27.10.2014 um 10:30 Uhr
Ich wusste nicht ob du mit "OU" was anfangen kannst.

Natürlich sind OUs gemeint

Ich passe es oben an...
Bitte warten ..
Mitglied: panguu
27.10.2014, aktualisiert um 19:26 Uhr
Wie wäre es z.B. mit folgender Struktur? Ich hab mich dabei an dieses sheet von Microsoft orientiert. Das entspricht Variante (2) von meinem Ursprungspost.

45aa6468f024157f94a3dd5afbc4076a - Klicke auf das Bild, um es zu vergrößern

Ist das ok, könnte ich das so stehen lassen? Wenn ich das richtig verstanden habe, würden ja sämtliche Workstations, die ich in die Domäne anbinde in dem default-Ordner "Computers" landen, oder? Dann muss ich halt manuell durch Verschieben/Drag&Drop diese in meine entsprechende "Arbeitsstationen"-Sub-OU ziehen. Freue mich über feedback und Anregungen.
Bitte warten ..
Mitglied: ITvortex
27.10.2014 um 11:39 Uhr
Und wieso gibst du deine Sub-OU nicht dementsprechend unter Computer und Users hinein?
Bitte warten ..
Mitglied: panguu
27.10.2014, aktualisiert um 19:18 Uhr
EDIT:

Das geht ja gar nicht. Ich kann in dem defaultmäßigen Container "Users" oder "Computer" keine OU erstellen.
Bitte warten ..
Mitglied: rzlbrnft
27.10.2014, aktualisiert um 15:11 Uhr
Ich finde es persönlich nicht übersichtlich, wenn es Ordner bzw. OUs gibt die teilweise nur ein Element enthalten. Empfehlungen helfen dir eigentlich nichts, du musst damit klarkommen.

Wenn du damit natürlich 50000 User und Computer verwalten wirst oder in jeder Abteilung andere Richtlinien verwenden musst, dann macht das Sinn, wenn nicht tust du dir damit wahrscheinlich keinen Gefallen. Wir haben z.B. nach Standort getrennt weil wir in jeder Filiale einen Fileserver für die eigenen Dateien der Benutzer stehen hatten und es so einfacher war die Freigaben zu verteilen. Mittlerweile vergeben wir aber Freigaben per GPO nach Gruppenzugehörigkeit also brauchts das eigentlich auch nicht mehr.

Interessant sind für dich eigentlich eher Fragen wie, wie kann ich am schnellsten den Computer finden den ich verwalten will, wenn ich einen User am Telefon hab. Welche Tools greifen noch aufs AD zu? Können diese mehr als eine OU anzeigen? Wie oft wechseln Mitarbeiter eine Abteilung? Ziehen Mitarbeiter zwischen Standorten um und ändern sich dann damit die Richtlinien?

Sowohl Computerobjekte als auch Userobjekte können im AD sämtliche Felder verwenden die es für User gibt, also auch Abteilung und Standort usw. Das lässt sich hervorragend zum ordnen und wiederfinden benutzen. Wir nutzen zur Verwaltung Hyena, das Tool kann auch auf Felder zugreifen die Über die Standardtools nicht sichtbar sind.
Bitte warten ..
Mitglied: panguu
27.10.2014 um 15:32 Uhr
Danke für deine Meinung. Nunja, ich glaube, mir fehlt es leider noch an Erfahrung wie das in der Praxis mit dem AD aussieht. Ich denke, ich werde wohl erst im laufenden Betrieb merken und verstehen lernen, wo die jeweiligen Vor-/Nachteile liegen. Einen interessanten Punkt hast du aber angesprochen:

du meintest, man kann GPO's auch anhand der Gruppenzugehörigkeit verteilen (auf Computer oder Benutzerebene, oder beides möglich?). Wie genau geht das? Gibt's evtl. irgendwo im Internet ein gutes Tutorial, welches mit Beispielen beschreibt, wie man Basics mit Hilfe der GPOs in einer AD-Struktur konfiguriert? Also mich interessieren grad die simplen Sachen, wie z.B:

- wie und welche Art von Gruppen erstelle ich (globale? local-domain? universal?), um einen freigegeben Ordner namens "Projekt1" zugreifbar für den Innendienst und für das Marketing zu machen

- Logonskript oder Netzlaufwerkmappings zu erstellen, so daß alle Mitglieder der Gruppe "Vertrieb" das Laufwerk V:\auf \\meinfileserver\vertrieb gemappt bekommen

- Alle Mitarbeiter einen von mir festgelegten Desktophintergrund mit dem Logo der Firma zugeteilt bekomme

...usw...
Bitte warten ..
Mitglied: rzlbrnft
27.10.2014 um 15:54 Uhr
Da gibt es viele Möglichkeiten.
Man kann GPOs zum Beispiel im Lesezugriff beschränken, dann können auch nur bestimmte Gruppen diese übernehmen.
Dann gibt es die GPPs, die findest du z.B. unter Benutzerkonfiguration>Einstellungen. Die haben die Möglichkeit der clientseitigen Zuordnung, z.B. zu bestimmten Benutzergruppen oder auch Betriebssystemversion und ähnlichen Angaben.
Und es gibt WMI Filter, die benutzen wir z.B. um zwischen 32bit und 64bit zu unterscheiden, oder auch um den PDC-Emulator zu bestimmen.

Du wirst wenn du damit länger arbeitest dein System wahrscheinlich eh noch zehnmal umwerfen bis du es so hast wie es für eure Situation am besten nutzbar ist. Am wichtigsten ist meiner Meinung nach die Gruppeneinteilung. Hier solltest du mit den einzelnen Abteilungsleitern absprechen welche Rechte wer haben muss und wer wo reinschreiben darf, hier solltest du nicht zu sparsam sein, Probleme wie nicht mehr aufzufindende Ordner weil der Abteilungsleiter versehentlich was in seine Abteilung geschoben hat was für alle zugänglich sein sollte sind keine Seltenheit.
Bitte warten ..
Mitglied: panguu
27.10.2014, aktualisiert um 19:22 Uhr
Kommentar von ITvortex:
Und wieso gibst du deine Sub-OU nicht dementsprechend unter Computer und Users hinein?

Weil das nicht geht? Ich kann in dem default container "Computers" oder "Users" keine OU erstellen.

Um auf den Sachverhalt von vorhin zurückzukommen: kann mir bitte jemand erklären was es denn für einen Unterschied macht, wenn ich Variante (1) oder (2) verwenden würde? Ich mein, ich kann doch eine GPO ganz gezielt zuweisen, also mit einer OU verknüpfen. Wenn ich z.B. eine userbasierte GPO auf die Marketing-Abteilung anwenden möchte, dann kann ich das sowohl mit der Variante (1) als auch mit (2) bewerkstelligen.

Bei Variante (1) klick ich ganz einfach auf -->Marketing--> Benutzer und weise die GPO zu.
Bei Variante (2) klick ich ganz einfach auf -->Benutzer -->Marketing und weise die GPO zu.

Wo ist also das Problem zwischen (1) oder (2). Oder hab ich 'nen Denkfehler? bitte klärt mich auf
Bitte warten ..
Mitglied: rzlbrnft
LÖSUNG 28.10.2014, aktualisiert um 11:40 Uhr
In deinem Fall ist kein Unterschied, wenn du aber eine GPO hast die für alle Benutzer gilt würdest du die einfach im übergeordneten Ordner "Benutzer" verknüpfen, bei Variante 1 müsstest du sie entweder in jedem Benutzerordner Verknüpfen oder noch eine Ebene drüber, was du eventuell nicht willst.

Aber wie gesagt, was für deine Struktur am besten ist, wirst du erst im laufenden Betrieb merken, jede Firma arbeitet anders.

Ich hab z.B. meine Gruppen geordnet nach Software/Verteiler/Dateizugriff, meine Computer nach Standort und meine Benutzer lediglich in Mitarbeiter/Sonstige/Ausgeschiedene. Drucker haben wir gar nicht im AD angelegt, für mich hat sich daraus noch kein wirklicher Nutzen ergeben. Windows Update/Virenscanner/Proxy Einstellungen werden hier nach Standort vergeben, Freigaben übergeordnet anhand der Netzlaufwerke wo der Nutzer auch per Gruppe Zugriff hat. Dazu gibt es noch eine Default PC Policy, in der auch Benutzereinstellungen vergeben sind die per Loopback an jeden Benutzer vergeben werden der sich an einer bestimmten Maschine anmeldet.

Ich empfehle dir bei der Erstellung deiner Richtlinien, lieber mehrere kleinere GPOs zu machen als alles in eine große GPO zu packen. Das hilft beim Testen und bei der Übersicht.
Bitte warten ..
Mitglied: xbast1x
28.10.2014 um 11:15 Uhr
panguu, am Ende kannst du dein Konzept nochmal komplett ändern. Du wirst im laufenden Betrieb sehen, was passt und was nicht. Die Clients und Benutzer sind (je nach GPO) nur geringermaßen eingeschränkt sollte sich etwas in der Struktur ändern. Von daher, mach dich da nicht all zu viel zurück.

Der Aufbau ist vorallem für dich wichtig und soll dir als arbeitserleichterung dienen. Ich denke in diesem Thread wurde soweit alles gesagt.


Grüße Sebastian.
Bitte warten ..
Mitglied: panguu
28.10.2014, aktualisiert um 11:53 Uhr
...wenn du aber eine GPO hast die für alle Benutzer gilt würdest du die einfach im übergeordneten Ordner "Benutzer" verknüpfen, bei Variante 1 müsstest du sie entweder in jedem Benutzerordner Verknüpfen oder noch eine Ebene drüber, was du eventuell nicht willst.

DAS ist ein Argument. Stimmt, würde ich Variante (1) wählen, müsste ich das Gruppenrichtlinienobjekt erstellen, und dann überall in den Sub-OU's namens "Benutzer" in dieser Struktur verknüpfen

....Meine Firma GmbH
.......Vertrieb
.............Benutzer
.......Einkauf
.............Benutzer
.......Marketing
.............Benutzer

Demnach wäre Variante (2) für diesen Fall eleganter, denn da kann ich das GPO direkt nur mit einer einzigen OU verknüpfen, und es wirkt sich auf alle Benutzerkonten aus:

....Meine Firma GmbH
.......Benutzer
............Vertrieb
............Einkauf
............Marketing

Ich werde jetzt also erstmal Variante (2) für meine initiale Konfiguration herziehen. Und wie ihr schon gesagt habt: ich denke der Rest kommt dann mit dem Laufe der Zeit in der Praxis. Dann muss ich halt wohl oder übel noch umkrempeln oder weiter granuliert anpassen.

Eine abschließende Frage habe ich jedoch noch. Du sagtest:
... Freigaben übergeordnet anhand der Netzlaufwerke wo der Nutzer auch per Gruppe Zugriff hat.

Wie kann ich denn einer OU, z.B. dem "Marketing" ein Laufwerk mappen so daß alle Benutzer dieser OU nach ihrer Windows-Anmeldung den Laufwerksbuchstaben "M:\" haben, der auf die Freigabe "\\fileserver\marketing" zeigt. Geht das überhaupt? Falls ja, dann brauch ich ja erstmal auch gar keine Loginskripte mehr in meiner neuen AD-Domäne, das wäre super.

Vielen herzlichen Dank euch allen soweit! Schönen Tag wünscht,
Pangu
Bitte warten ..
Mitglied: MATTI24
28.10.2014, aktualisiert um 14:44 Uhr
Hallo,

aus meiner Sicht sind beide o.g. Strukturen zu unübersichtlich. Warum die Benutzer noch einmal so teilen? Wenn du später feststellst doch noch eine OU zu benötigen, kannst du das ja immer noch.

Das Laufwerksmapping pro Abteilung ist, wenn ich mich richtig erinnere, durchaus möglich. Ich würde es aber über ein gemeinsam gemapptes Laufwerk mit Shares über die einzelnen Abteilungen lösen- Stichwort DFS-. Die Rechte kannst du dann über Gruppen verteilen. Dafür gibt es das AGDLP Prinzip.

Wenn ich es noch richtig erinnere, könnte man sogar die GPOs so gestalten, dass nur die für den Benutzer/Gruppe freigegebenen Shares sichtbar sind.

Meine Empfehlung: So unkompliziert wie möglich. Die Implementierung ist der erste Schritt. Danach steht die tägliche Wartung. Die Anforderungen ändern sich täglich. Darauf muss dann schnell und flexible reagiert werden können:
Benutzer A wechselt nach B,
Abteilung X braucht die Rechte für Verzeichnisse von Y etc..

In diesem Sinne

Matti


PS:

Wenn ich mal zitieren darf?

Ian McLean u.a.:

"Zwar begehen Sie mit zu wenig Organisationseinheiten und Gruppenrichtlinienobjekten auch einen Fehler, doch die meisten von uns legen eher zu viele an. Bleiben Sie bei einfachen Strukturen." Windows Server 2008 70-646
Bitte warten ..
Mitglied: xbast1x
28.10.2014 um 14:15 Uhr
Die Zuordnung der Laufwerke ist ganz einfach:

in der Gruppenrichtlinienverwaltung - Benutzer - Einstellungen - Windows Einstellungen - Laufwerkzuordnung

Dort den Buchstaben sowie Pfad angeben.
Bitte warten ..
Mitglied: rzlbrnft
28.10.2014, aktualisiert um 14:45 Uhr
xbast1x hats ja schon gesagt, unter genau dem Punkt gibts auch ein zweites Register "Gemeinsame Optionen", wo du die Zielgruppenadressierung nach bestimmten Kriterien durchführen kannst. In deinem Fall wäre das dann "Sicherheitsgruppe XYZ".
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...