Active Directory + AzureAD-Sync für zwei Firmen

Hallo,

ich möchte es testen, wie man auf einem WS2019 AD konfiguriert, dass es mit AzureAD zwei Firmen in einer Organisation syncht.

Ziel ist es, dass grundsätzlich der Zugriff von der einen in die andere Firma gesperrt ist.
Vereinzelt aber Benutzer Zugriff in beiden Bereichen haben.

Anmeldung soll über E-Mail Adresse arbeiten; also zB user1@comp1.com und user1@comp2.com.
Die Anmeldedaten und UPN sollen auch online verfügbar sein, also mit AzureAD synchronisiert werden.

File- und Print-Server werden geteilt.

Es soll aber möglich sein die Domäne eigenständig zu betreiben. Wenn z.B. die comp2.com verkauft wird o.ä.

Welches Konfigurations-Schema empfehlt ihr?

Ich habe schon unzähliges über Single-Domain und OU Trennung gelesen, das stimmt mich aber nicht positiv, weil "unsicher" und nicht wirklich getrennt.
Auch "hacks", wo man an den Rechten schraubt finde ich nicht sinn voll.

Multi-Domain und/oder Multi-Forest erscheint mir sehr komplex und bietet meist nicht die Möglichkeit die comp2.com herauszunehmen.

Danke

LG

Lukas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 519550

Url: https://administrator.de/contentid/519550

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

7 Kommentare

Neuester Kommentar

Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren. Bist Du Dir eigentlich sicher, dass Du selbst verstehst was Du eigentlich willst?

Zitat von @Matsushita:

Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren.

Nicht ganz ....

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-conn ...

Das würde ja grundsätzlich passen; will aber im OnPremise AD mehrere Organisationen mit unterschiedlichen UPNs abbilden.

Hast du denn verstanden, was das Ziel ist?

Ich hab noch keine Lösung, deswegen frag ich ja in die Runde.

Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.

Sers,

Zitat von @LKaderavek:
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.

Einfachste Variante: Eigene eigenständige Domäne je Firma, und eine Vertrauensstellung zwischen den Firmen aufbauen.

Wenn es sich trennt wird im einfachsten Fall nur den Trust aufgelöst, und die Trennung ist fertig.

Grüße,
Philip

An das habe ich auch schon gedacht.

Dann habe ich aber auch für jeden Cloud Service (MDM z.B.) ein eigenes AzureAD zum an-/verbinden.

Danke für deinen Input.

Hallo,

ich habe mich nun detaillierter mit den Szenarien beschäftigt und damit zu folgendem Entschluss gekommen.

1. Multiforest-Umgebung (ohne Trust): 2x DC-VM (COMP1.com & COMP2.com)
2. ADFS für beide Domains: 2x ADFS-VM + AzureAD-Connect
3. Single Tenant AzureAD Sync
4. Single Sign On für UPN1@COMP1.com und UPN2@COMP2.com

Gibt es zu den VMs irgendwelche Einwände?

Als Einschränkung gibt es bis jetzt, dass Lync nur von MS-Partnern und extern betrieben werden könnte.
Skype for Business ist nur für eine Domain verfügbar (COMP1.com).
Beide Dinge fallen nicht ins Gewicht - Skype for Business ist evtl. interessant, aber momentan nicht relevant.

Die Netzwerk-Konfiguration könnte dann theoretisch so aussehen.
DCs im SERVER-VLAN - VLAN444
ADFSs im DMZ(-VLAN) - VLAN555
COMP1.com - VLAN661 (z.B. Clients)
COMP1.com-TECHNIK - VLAN662 (z.B. Drucker)
COMP2.com - VLAN771
COMP2.com-TECHNIK - VLAN772 (z.B. Drucker)

Die Firewall wird dann natürlich den Inter-VLAN Traffic routen.

Bzgl. der ADFS im DMZ bin ich mir nicht ganz sicher.

Bin für jeden Input dankbar.
Danke
LG

Frage Microsoft Windows Server

Mehr von LKaderavek

Outlook 2016 - Antwort-Text verschwindet, wenn man Textmarken aktiviert hatLKaderavek

WiFi PreLogon MachineCert AuthenticationLKaderavek - 13 Kommentare

Windows 11 Upgrade noch stoppenLKaderavek - 6 Kommentare

Exchange 2019 onPremise, Outlook 2019 C2R AutoDiscoverLKaderavek - 18 Kommentare

Heiß diskutiert