Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AGDLP nur für Multi-Domänen-Umgebung?

Frage Microsoft Windows Server

Mitglied: Jokesoft

Jokesoft (Level 1) - Jetzt verbinden

07.12.2007, aktualisiert 08.12.2007, 17518 Aufrufe, 4 Kommentare

Ich prügel mich gerade durch die ersten MCSA-Zertifizierungen und bin dabei über folgendes gestolpert:

Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP

Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.

Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.

Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.

Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Mitglied: spacyfreak
08.12.2007 um 07:24 Uhr
Der MCSE ist zwar paar Jahre her, aber woran ich mich noch erinnere:

Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.

Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.

Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.

Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.

Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.

Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.

Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 20:57 Uhr
Hallo einfach-mal-die-klappe-halten,
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
Bitte warten ..
Mitglied: spacyfreak
08.12.2007 um 21:16 Uhr
Das kann man doch letztendlich machen wie man moechte.

Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".

Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.

Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.

Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.

Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.

Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.

So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.

Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.



Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Bitte warten ..
Mitglied: Jokesoft
08.12.2007 um 22:05 Uhr
Ich dachte nur, dass es eventuell weitere Konzepte gibt, um einen erneuten Wildwuchs zu verhindern.
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Router & Routing
Suche einen Dual oder Multi Wan Router (26)

Frage von Roland30 zum Thema Router & Routing ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...