Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AGDLP nur für Multi-Domänen-Umgebung?

Frage Microsoft Windows Server

Mitglied: Jokesoft

Jokesoft (Level 1) - Jetzt verbinden

07.12.2007, aktualisiert 08.12.2007, 18147 Aufrufe, 4 Kommentare

Ich prügel mich gerade durch die ersten MCSA-Zertifizierungen und bin dabei über folgendes gestolpert:

Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP

Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.

Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.

Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.

Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Mitglied: spacyfreak
08.12.2007 um 07:24 Uhr
Der MCSE ist zwar paar Jahre her, aber woran ich mich noch erinnere:

Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.

Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.

Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.

Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.

Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.

Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.

Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 20:57 Uhr
Hallo einfach-mal-die-klappe-halten,
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
Bitte warten ..
Mitglied: spacyfreak
08.12.2007 um 21:16 Uhr
Das kann man doch letztendlich machen wie man moechte.

Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".

Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.

Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.

Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.

Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.

Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.

So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.

Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.



Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 22:05 Uhr
Ich dachte nur, dass es eventuell weitere Konzepte gibt, um einen erneuten Wildwuchs zu verhindern.
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Multi Setup USB Stick Treiber? (4)

Frage von opc123 zum Thema Windows Tools ...

Switche und Hubs
gelöst Industrieswitche für staubige Umgebung (7)

Frage von cableguy007 zum Thema Switche und Hubs ...

Windows Server
gelöst Zebra Treiber für provisionierte Umgebung (8)

Frage von Hoerti zum Thema Windows Server ...

Visual Studio
WPF Form in Windows Forms Multi Document Interface (11)

Frage von Herbrich19 zum Thema Visual Studio ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (21)

Frage von jensgebken zum Thema Windows Server ...

Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Festplatten, SSD, Raid
gelöst Raidcontroller funktioniert nur, wenn unter Legacy-Boot gestartet wird (14)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...