Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänenstruktur

Frage Microsoft Windows Server

Mitglied: alex.b

alex.b (Level 1) - Jetzt verbinden

09.10.2012 um 10:14 Uhr, 4790 Aufrufe, 8 Kommentare

Frage zum Aufbau

hi,

Ich habe eine Frage zum Aufbau einer neuen Domäne.

Die Gegebenheiten:
Ein Unternehmen, aufgeteilt in 7Firmen.
Manche Mitarbeiter und insbesondere der Geschäftsführer nehmen in mehreren Unternehmen rollen ein.

Ich will hier eine Unternehmens-Domäne und für jede Firma eine OU erstellen.

Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?
Erstell ich diese User dann nur außerhalb der OUs?

Über ein paar Tipps würd ich mich sehr freuen!


Vielen Danke

alex
Mitglied: clSchak
09.10.2012 um 12:47 Uhr
Es kommt auch auf die Größe an (oh wie 2-Deutig :o) ) -

Wenn du nur eine geringe Anzahl an Leuten hast reicht es aus wenn du separate OU's erstellst, dann packst Du die Personen in den Gruppen der einzelnen Unternehmen und steuerst damit auch die Zugriffsrechte.

Die entsprechenden OU's versiehst dann mit den passenden GPO's und damit hast es recht einfach.

Die Komplizierte Variante wäre mit Domaintrusts, Child-Domains usw. aber das macht erst in großen Umgebungen wirklich sinn, da man dort ein wenig mehr Arbeit mit den Berechtigungen bekommt wenn es über mehrere Domänen geht.
Bitte warten ..
Mitglied: Luie86
09.10.2012 um 13:04 Uhr
Hi,

Zitat von alex.b:
Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?

Warum sollte denn dieser Jemand in 2 OU's sein?


Gruß Daniel
Bitte warten ..
Mitglied: nasta-admin
09.10.2012 um 13:30 Uhr
Hallo

In einer AD-Domain kann kein Objekt (User, Computer, etc.) in mehreren OUs sein. Die OUs ´sind eigentlich nur dazu gedacht um das AD etwas anschaulicher gestalten zu können bzw. die GPOs trennen zu können. Zugriffsrechte setzt du nicht auf die OUs sondern auf die AD-Gruppen dann.
Du kannst also prinzipiell, wenn in allen Unternehmen inerhalb der Domain die gleichen GPOs eingesetzt werden, auch auf die OUs verzichten ... wird dann aber ziemlich unübersichtlich werden.
Klassisch machst du aber ein Ungefähres Abbild des Unternehmens im AD mit den OUs.
Bsp:
domain.loc
-OU Niederlassung 1
----OU Buchhaltung
-------User Testhans
-------Computer TestPC
-OU Niederlassung 2
----OU Produktion
-OU Zentrale
----OU Buchhaltung
-------User Paul Rechner
-------Computer buchhaltungnb01
-------Gruppe Buchhaltung
----OU Sekretariat
----OU Interne IT
usw.

(siehe auch:http://www.itcs.umich.edu/windows-forest/docs/ActiveDirectoryUsersGroup ...)

Wenn du nun Mitarbeiter hast die zwischen den Niederlassungen pendeln musst du nur aufpassen dass die Zugrifsrechte auf Fiels und Server passen, im AD lässt du sie einfach in ihrer "Heimat OU". Jeder MA wird nornmalerweise nur einer Kostenstelle zugeordnet und genau in diese OU gehlört er dann auch.

LG
Bitte warten ..
Mitglied: psannz
09.10.2012, aktualisiert um 13:38 Uhr
sers,

zu allererst mal folgendes: ein Objekt ist, um funktional zu sein, im Verzeichnis immer genau einer OU zugeteilt.
Wenn ein AD-Objekt selbst (Objekt, nicht Verknüpfung) in >1 OU ist hast du imo ein rießen Problem. Dann passt nämlich der Distinguished Name nicht. Der kann nur auf eine OU zeigen.


Was ich in deinem Fall machen würde wäre wahrscheinlich alle Nutzer mal in eine allgemeine OU "Nutzer" zu stecken und die Zugehörigkeiten dann über Verteiler-/Sicherheits-/Universalgruppen zu regeln. Für die jeweiligen Gruppen könntest du dann ... nennen wir es mal Firmen-OUs bilden.

Zugriffsrechte müssen dann natürlich auf die passenden Gruppen vergeben werden und nicht auf Einzelpersonen.

Bei Zugriffsrechten gilt i.A. Verbieten > Erlauben > NichtKonfiguriert.
Sprich, User1 ist im Vertrieb der Firma1 und Firma2 tätig, ist also in den Sicherheitsgruppen Firma1_Vertrieb und Firma2_Vertrieb. Die Gruppe Firma1_Vertrieb darf auf die Freigabe "\\deine.domäne\Finanzen" zugreifen (explizit in Berechtigungen erlaubt), für Firma2_Vertrieb ist nichts auf der Freigabe konfiguriert. User1 kann in dem Fall auf die Freigabe zugreifen. Wäre jetzt aber für Firma2_Vertrieb der Zugriff in den Berechtigungen explizit verboten so könnte User1 nicht mehr auf die Freigabe zugreifen, egal ob Firma1_Vertrieb es eigentlich darf oder nicht.


Ebenfalls wichtig: Abgrenzung der Firmen innerhalb der Domäne. Musst also genau steuern wer was darf, etwa an bestimmten Rechnern anmelden, etc pp, und nicht den Standard nutzen der da sagt "Nuter ist in Domäne also geht das klar".
Wichtig z.B. für den Datenschutz. Nur weil Firma1 und Firma2 die selbe Muttergesellschaft haben heisst das nicht dass es munter Zugriff auf die Daten der anderen Firma bekommen dürfen.

Noch was zum Vorschlag von @clSchak mit den Domaintrusts und Childdomains: Da brauchst pro (Teil-)Domäne mindestens einen DC. Ist wahtscheinlich nicht im Budget.

:edit: da war Nasta wohl etwas fixer ^^

Grüße,
Philip
Bitte warten ..
Mitglied: alex.b
09.10.2012 um 13:51 Uhr
Das jeder immer nur in einer OU sein kann ist mir schon klar.. Deswegen ja die Frage.

Sagen wir z.B. der Geschäftsführer einer Holding zu der 7 Firmen gehören ist auch in allen Firmen Geschäftsführer.
Alles ist ansässig unter einem Dach mit einem DC.
Bitte warten ..
Mitglied: nasta-admin
09.10.2012 um 14:06 Uhr
Dann Machst du einfach eine OU ganz oben in deinem Baum wo der Geschäftsführer drin sitz der User ist dann Mitglied von mehreren Gruppen der 7 Firmen:

Bsp:
domain.loc
-OU Holding
----OU Geschäftsleitung
----User Geschäftsführer (Member der Gruppen Niederlassung 1 GL, Niederlassung 2 GL, Zentrale GL)
-OU Niederlassung 1
----Gruppe Niederlassung 1 GL
----OU Buchhaltung
-------User Testhans
-------Computer TestPC
-OU Niederlassung 2
----Gruppe Niederlassung 2 GL
----OU Produktion
-OU Zentrale
----Gruppe Zentrale GL
----OU Buchhaltung
-------User Paul Rechner
-------Computer buchhaltungnb01
-------Gruppe Buchhaltung
----OU Sekretariat
----OU Interne IT


Bau die OUs einfach nach dem Organigramm des Unternehmens auf
Bitte warten ..
Mitglied: alex.b
09.10.2012 um 14:20 Uhr
Das klingt passend..

Vielen Dank!
Bitte warten ..
Mitglied: psannz
09.10.2012, aktualisiert um 16:45 Uhr
Noch ein kleiner Rat: Arbeite bei Berechtigungen immer mit Gruppen. Wenn du das AD jetzt neu aufbaust kannst das gleich sauber so umsetzen und sparst dir hinterher massig Zeit.

Jetzt wird vielleicht wer sagen "aber wir haben doch nur eine Person in der Zentrale, ist doch ned nötig da jetzt ne Gruppe deswegen zu warten!", aber was ist wenn die Person mal geht? Oder noch ein zweiter User dazu kommt?

Ist einfach wesentlich leichter so den Überblick zu behalten.
Hat dann auch weniger Problempotential wenn ein Mitarbeiter permanent von Firma1 nach Firma2 wechselt. Stichwort Applikation die auf Distinguished Names (DN) von Nutzern zurückgreift ohne diese dynamisch über nen DC aus dem AD zu ziehen.

@Nasta: Die Idee mit der OU-Zuordnung nach Kostenstelle funktioniert nur so lange wie intern nicht projektbezogen (idF etwa je Projekt andere Firma) abgerechnet wird.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Domänenstruktur heraufstufen für Exchange 2016
gelöst Frage von zeroblue2005Exchange Server3 Kommentare

Hallo Zusammen, ich versuche gerade einen Exchange 2016 auf einem Server 2016 Standard zu installieren! Hierbei bekam ich die ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 StundeBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 3 StundenHumor (lol)5 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 19 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 19 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...