7
Active Directory + AzureAD-Sync für zwei Firmen
Hallo,
ich möchte es testen, wie man auf einem WS2019 AD konfiguriert, dass es mit AzureAD zwei Firmen in einer Organisation syncht.
Ziel ist es, dass grundsätzlich der Zugriff von der einen in die andere Firma gesperrt ist.
Vereinzelt aber Benutzer Zugriff in beiden Bereichen haben.
Anmeldung soll über E-Mail Adresse arbeiten; also zB user1@comp1.com und user1@comp2.com.
Die Anmeldedaten und UPN sollen auch online verfügbar sein, also mit AzureAD synchronisiert werden.
File- und Print-Server werden geteilt.
Es soll aber möglich sein die Domäne eigenständig zu betreiben. Wenn z.B. die comp2.com verkauft wird o.ä.
Welches Konfigurations-Schema empfehlt ihr?
Ich habe schon unzähliges über Single-Domain und OU Trennung gelesen, das stimmt mich aber nicht positiv, weil "unsicher" und nicht wirklich getrennt.
Auch "hacks", wo man an den Rechten schraubt finde ich nicht sinn voll.
Multi-Domain und/oder Multi-Forest erscheint mir sehr komplex und bietet meist nicht die Möglichkeit die comp2.com herauszunehmen.
Danke
LG
Lukas
ich möchte es testen, wie man auf einem WS2019 AD konfiguriert, dass es mit AzureAD zwei Firmen in einer Organisation syncht.
Ziel ist es, dass grundsätzlich der Zugriff von der einen in die andere Firma gesperrt ist.
Vereinzelt aber Benutzer Zugriff in beiden Bereichen haben.
Anmeldung soll über E-Mail Adresse arbeiten; also zB user1@comp1.com und user1@comp2.com.
Die Anmeldedaten und UPN sollen auch online verfügbar sein, also mit AzureAD synchronisiert werden.
File- und Print-Server werden geteilt.
Es soll aber möglich sein die Domäne eigenständig zu betreiben. Wenn z.B. die comp2.com verkauft wird o.ä.
Welches Konfigurations-Schema empfehlt ihr?
Ich habe schon unzähliges über Single-Domain und OU Trennung gelesen, das stimmt mich aber nicht positiv, weil "unsicher" und nicht wirklich getrennt.
Auch "hacks", wo man an den Rechten schraubt finde ich nicht sinn voll.
Multi-Domain und/oder Multi-Forest erscheint mir sehr komplex und bietet meist nicht die Möglichkeit die comp2.com herauszunehmen.
Danke
LG
Lukas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 519550
Url: https://administrator.de/contentid/519550
Printed on: May 10, 2024 at 15:05 o'clock
7 Comments
Latest comment
Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren. Bist Du Dir eigentlich sicher, dass Du selbst verstehst was Du eigentlich willst?
Zitat von @Matsushita:
Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren.
Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren.
Nicht ganz ....
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-conn ...
Das würde ja grundsätzlich passen; will aber im OnPremise AD mehrere Organisationen mit unterschiedlichen UPNs abbilden.
Hast du denn verstanden, was das Ziel ist?
Ich hab noch keine Lösung, deswegen frag ich ja in die Runde.
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.
Ich hab noch keine Lösung, deswegen frag ich ja in die Runde.
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.
Sers,
Einfachste Variante: Eigene eigenständige Domäne je Firma, und eine Vertrauensstellung zwischen den Firmen aufbauen.
Wenn es sich trennt wird im einfachsten Fall nur den Trust aufgelöst, und die Trennung ist fertig.
Grüße,
Philip
Zitat von @LKaderavek:
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.
Einfachste Variante: Eigene eigenständige Domäne je Firma, und eine Vertrauensstellung zwischen den Firmen aufbauen.
Wenn es sich trennt wird im einfachsten Fall nur den Trust aufgelöst, und die Trennung ist fertig.
Grüße,
Philip
An das habe ich auch schon gedacht.
Dann habe ich aber auch für jeden Cloud Service (MDM z.B.) ein eigenes AzureAD zum an-/verbinden.
Danke für deinen Input.
Dann habe ich aber auch für jeden Cloud Service (MDM z.B.) ein eigenes AzureAD zum an-/verbinden.
Danke für deinen Input.
Hallo,
ich habe mich nun detaillierter mit den Szenarien beschäftigt und damit zu folgendem Entschluss gekommen.
1. Multiforest-Umgebung (ohne Trust): 2x DC-VM (COMP1.com & COMP2.com)
2. ADFS für beide Domains: 2x ADFS-VM + AzureAD-Connect
3. Single Tenant AzureAD Sync
4. Single Sign On für UPN1@COMP1.com und UPN2@COMP2.com
Gibt es zu den VMs irgendwelche Einwände?
Als Einschränkung gibt es bis jetzt, dass Lync nur von MS-Partnern und extern betrieben werden könnte.
Skype for Business ist nur für eine Domain verfügbar (COMP1.com).
Beide Dinge fallen nicht ins Gewicht - Skype for Business ist evtl. interessant, aber momentan nicht relevant.
Die Netzwerk-Konfiguration könnte dann theoretisch so aussehen.
DCs im SERVER-VLAN - VLAN444
ADFSs im DMZ(-VLAN) - VLAN555
COMP1.com - VLAN661 (z.B. Clients)
COMP1.com-TECHNIK - VLAN662 (z.B. Drucker)
COMP2.com - VLAN771
COMP2.com-TECHNIK - VLAN772 (z.B. Drucker)
Die Firewall wird dann natürlich den Inter-VLAN Traffic routen.
Bzgl. der ADFS im DMZ bin ich mir nicht ganz sicher.
Bin für jeden Input dankbar.
Danke
LG
ich habe mich nun detaillierter mit den Szenarien beschäftigt und damit zu folgendem Entschluss gekommen.
1. Multiforest-Umgebung (ohne Trust): 2x DC-VM (COMP1.com & COMP2.com)
2. ADFS für beide Domains: 2x ADFS-VM + AzureAD-Connect
3. Single Tenant AzureAD Sync
4. Single Sign On für UPN1@COMP1.com und UPN2@COMP2.com
Gibt es zu den VMs irgendwelche Einwände?
Als Einschränkung gibt es bis jetzt, dass Lync nur von MS-Partnern und extern betrieben werden könnte.
Skype for Business ist nur für eine Domain verfügbar (COMP1.com).
Beide Dinge fallen nicht ins Gewicht - Skype for Business ist evtl. interessant, aber momentan nicht relevant.
Die Netzwerk-Konfiguration könnte dann theoretisch so aussehen.
DCs im SERVER-VLAN - VLAN444
ADFSs im DMZ(-VLAN) - VLAN555
COMP1.com - VLAN661 (z.B. Clients)
COMP1.com-TECHNIK - VLAN662 (z.B. Drucker)
COMP2.com - VLAN771
COMP2.com-TECHNIK - VLAN772 (z.B. Drucker)
Die Firewall wird dann natürlich den Inter-VLAN Traffic routen.
Bzgl. der ADFS im DMZ bin ich mir nicht ganz sicher.
Bin für jeden Input dankbar.
Danke
LG
