Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänenstruktur

Frage Microsoft Windows Server

Mitglied: alex.b

alex.b (Level 1) - Jetzt verbinden

09.10.2012 um 10:14 Uhr, 4683 Aufrufe, 8 Kommentare

Frage zum Aufbau

hi,

Ich habe eine Frage zum Aufbau einer neuen Domäne.

Die Gegebenheiten:
Ein Unternehmen, aufgeteilt in 7Firmen.
Manche Mitarbeiter und insbesondere der Geschäftsführer nehmen in mehreren Unternehmen rollen ein.

Ich will hier eine Unternehmens-Domäne und für jede Firma eine OU erstellen.

Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?
Erstell ich diese User dann nur außerhalb der OUs?

Über ein paar Tipps würd ich mich sehr freuen!


Vielen Danke

alex
Mitglied: clSchak
09.10.2012 um 12:47 Uhr
Es kommt auch auf die Größe an (oh wie 2-Deutig :o) ) -

Wenn du nur eine geringe Anzahl an Leuten hast reicht es aus wenn du separate OU's erstellst, dann packst Du die Personen in den Gruppen der einzelnen Unternehmen und steuerst damit auch die Zugriffsrechte.

Die entsprechenden OU's versiehst dann mit den passenden GPO's und damit hast es recht einfach.

Die Komplizierte Variante wäre mit Domaintrusts, Child-Domains usw. aber das macht erst in großen Umgebungen wirklich sinn, da man dort ein wenig mehr Arbeit mit den Berechtigungen bekommt wenn es über mehrere Domänen geht.
Bitte warten ..
Mitglied: Luie86
09.10.2012 um 13:04 Uhr
Hi,

Zitat von alex.b:
Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?

Warum sollte denn dieser Jemand in 2 OU's sein?


Gruß Daniel
Bitte warten ..
Mitglied: nasta-admin
09.10.2012 um 13:30 Uhr
Hallo

In einer AD-Domain kann kein Objekt (User, Computer, etc.) in mehreren OUs sein. Die OUs ´sind eigentlich nur dazu gedacht um das AD etwas anschaulicher gestalten zu können bzw. die GPOs trennen zu können. Zugriffsrechte setzt du nicht auf die OUs sondern auf die AD-Gruppen dann.
Du kannst also prinzipiell, wenn in allen Unternehmen inerhalb der Domain die gleichen GPOs eingesetzt werden, auch auf die OUs verzichten ... wird dann aber ziemlich unübersichtlich werden.
Klassisch machst du aber ein Ungefähres Abbild des Unternehmens im AD mit den OUs.
Bsp:
domain.loc
-OU Niederlassung 1
----OU Buchhaltung
-------User Testhans
-------Computer TestPC
-OU Niederlassung 2
----OU Produktion
-OU Zentrale
----OU Buchhaltung
-------User Paul Rechner
-------Computer buchhaltungnb01
-------Gruppe Buchhaltung
----OU Sekretariat
----OU Interne IT
usw.

(siehe auch:http://www.itcs.umich.edu/windows-forest/docs/ActiveDirectoryUsersGroup ...)

Wenn du nun Mitarbeiter hast die zwischen den Niederlassungen pendeln musst du nur aufpassen dass die Zugrifsrechte auf Fiels und Server passen, im AD lässt du sie einfach in ihrer "Heimat OU". Jeder MA wird nornmalerweise nur einer Kostenstelle zugeordnet und genau in diese OU gehlört er dann auch.

LG
Bitte warten ..
Mitglied: psannz
09.10.2012, aktualisiert um 13:38 Uhr
sers,

zu allererst mal folgendes: ein Objekt ist, um funktional zu sein, im Verzeichnis immer genau einer OU zugeteilt.
Wenn ein AD-Objekt selbst (Objekt, nicht Verknüpfung) in >1 OU ist hast du imo ein rießen Problem. Dann passt nämlich der Distinguished Name nicht. Der kann nur auf eine OU zeigen.


Was ich in deinem Fall machen würde wäre wahrscheinlich alle Nutzer mal in eine allgemeine OU "Nutzer" zu stecken und die Zugehörigkeiten dann über Verteiler-/Sicherheits-/Universalgruppen zu regeln. Für die jeweiligen Gruppen könntest du dann ... nennen wir es mal Firmen-OUs bilden.

Zugriffsrechte müssen dann natürlich auf die passenden Gruppen vergeben werden und nicht auf Einzelpersonen.

Bei Zugriffsrechten gilt i.A. Verbieten > Erlauben > NichtKonfiguriert.
Sprich, User1 ist im Vertrieb der Firma1 und Firma2 tätig, ist also in den Sicherheitsgruppen Firma1_Vertrieb und Firma2_Vertrieb. Die Gruppe Firma1_Vertrieb darf auf die Freigabe "\\deine.domäne\Finanzen" zugreifen (explizit in Berechtigungen erlaubt), für Firma2_Vertrieb ist nichts auf der Freigabe konfiguriert. User1 kann in dem Fall auf die Freigabe zugreifen. Wäre jetzt aber für Firma2_Vertrieb der Zugriff in den Berechtigungen explizit verboten so könnte User1 nicht mehr auf die Freigabe zugreifen, egal ob Firma1_Vertrieb es eigentlich darf oder nicht.


Ebenfalls wichtig: Abgrenzung der Firmen innerhalb der Domäne. Musst also genau steuern wer was darf, etwa an bestimmten Rechnern anmelden, etc pp, und nicht den Standard nutzen der da sagt "Nuter ist in Domäne also geht das klar".
Wichtig z.B. für den Datenschutz. Nur weil Firma1 und Firma2 die selbe Muttergesellschaft haben heisst das nicht dass es munter Zugriff auf die Daten der anderen Firma bekommen dürfen.

Noch was zum Vorschlag von @clSchak mit den Domaintrusts und Childdomains: Da brauchst pro (Teil-)Domäne mindestens einen DC. Ist wahtscheinlich nicht im Budget.

:edit: da war Nasta wohl etwas fixer ^^

Grüße,
Philip
Bitte warten ..
Mitglied: alex.b
09.10.2012 um 13:51 Uhr
Das jeder immer nur in einer OU sein kann ist mir schon klar.. Deswegen ja die Frage.

Sagen wir z.B. der Geschäftsführer einer Holding zu der 7 Firmen gehören ist auch in allen Firmen Geschäftsführer.
Alles ist ansässig unter einem Dach mit einem DC.
Bitte warten ..
Mitglied: nasta-admin
09.10.2012 um 14:06 Uhr
Dann Machst du einfach eine OU ganz oben in deinem Baum wo der Geschäftsführer drin sitz der User ist dann Mitglied von mehreren Gruppen der 7 Firmen:

Bsp:
domain.loc
-OU Holding
----OU Geschäftsleitung
----User Geschäftsführer (Member der Gruppen Niederlassung 1 GL, Niederlassung 2 GL, Zentrale GL)
-OU Niederlassung 1
----Gruppe Niederlassung 1 GL
----OU Buchhaltung
-------User Testhans
-------Computer TestPC
-OU Niederlassung 2
----Gruppe Niederlassung 2 GL
----OU Produktion
-OU Zentrale
----Gruppe Zentrale GL
----OU Buchhaltung
-------User Paul Rechner
-------Computer buchhaltungnb01
-------Gruppe Buchhaltung
----OU Sekretariat
----OU Interne IT


Bau die OUs einfach nach dem Organigramm des Unternehmens auf
Bitte warten ..
Mitglied: alex.b
09.10.2012 um 14:20 Uhr
Das klingt passend..

Vielen Dank!
Bitte warten ..
Mitglied: psannz
09.10.2012, aktualisiert um 16:45 Uhr
Noch ein kleiner Rat: Arbeite bei Berechtigungen immer mit Gruppen. Wenn du das AD jetzt neu aufbaust kannst das gleich sauber so umsetzen und sparst dir hinterher massig Zeit.

Jetzt wird vielleicht wer sagen "aber wir haben doch nur eine Person in der Zentrale, ist doch ned nötig da jetzt ne Gruppe deswegen zu warten!", aber was ist wenn die Person mal geht? Oder noch ein zweiter User dazu kommt?

Ist einfach wesentlich leichter so den Überblick zu behalten.
Hat dann auch weniger Problempotential wenn ein Mitarbeiter permanent von Firma1 nach Firma2 wechselt. Stichwort Applikation die auf Distinguished Names (DN) von Nutzern zurückgreift ohne diese dynamisch über nen DC aus dem AD zu ziehen.

@Nasta: Die Idee mit der OU-Zuordnung nach Kostenstelle funktioniert nur so lange wie intern nicht projektbezogen (idF etwa je Projekt andere Firma) abgerechnet wird.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...