lkaderavek
Goto Top

Active Directory + AzureAD-Sync für zwei Firmen

Hallo,

ich möchte es testen, wie man auf einem WS2019 AD konfiguriert, dass es mit AzureAD zwei Firmen in einer Organisation syncht.

Ziel ist es, dass grundsätzlich der Zugriff von der einen in die andere Firma gesperrt ist.
Vereinzelt aber Benutzer Zugriff in beiden Bereichen haben.

Anmeldung soll über E-Mail Adresse arbeiten; also zB user1@comp1.com und user1@comp2.com.
Die Anmeldedaten und UPN sollen auch online verfügbar sein, also mit AzureAD synchronisiert werden.

File- und Print-Server werden geteilt.

Es soll aber möglich sein die Domäne eigenständig zu betreiben. Wenn z.B. die comp2.com verkauft wird o.ä.

Welches Konfigurations-Schema empfehlt ihr?

Ich habe schon unzähliges über Single-Domain und OU Trennung gelesen, das stimmt mich aber nicht positiv, weil "unsicher" und nicht wirklich getrennt.
Auch "hacks", wo man an den Rechten schraubt finde ich nicht sinn voll.

Multi-Domain und/oder Multi-Forest erscheint mir sehr komplex und bietet meist nicht die Möglichkeit die comp2.com herauszunehmen.

Danke

LG

Lukas

Content-ID: 519550

Url: https://administrator.de/forum/active-directory-azuread-sync-fuer-zwei-firmen-519550.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Matsushita
Matsushita 27.11.2019 um 19:11:33 Uhr
Goto Top
Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren. Bist Du Dir eigentlich sicher, dass Du selbst verstehst was Du eigentlich willst?
7Gizmo7
7Gizmo7 27.11.2019 um 20:16:32 Uhr
Goto Top
Zitat von @Matsushita:

Du kannst nur ein Windows Server-Active Directory mit Azure AD synchronisieren.

Nicht ganz ....

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-conn ...
LKaderavek
LKaderavek 27.11.2019 um 22:36:25 Uhr
Goto Top
Das würde ja grundsätzlich passen; will aber im OnPremise AD mehrere Organisationen mit unterschiedlichen UPNs abbilden.
LKaderavek
LKaderavek 27.11.2019 um 22:44:43 Uhr
Goto Top
Hast du denn verstanden, was das Ziel ist?

Ich hab noch keine Lösung, deswegen frag ich ja in die Runde.

Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.
psannz
psannz 28.11.2019 um 10:21:34 Uhr
Goto Top
Sers,

Zitat von @LKaderavek:
Ich möchte in einem AD, zwei Firmen abbilden, die sich irgendwann wieder trennen lassen.

Einfachste Variante: Eigene eigenständige Domäne je Firma, und eine Vertrauensstellung zwischen den Firmen aufbauen.

Wenn es sich trennt wird im einfachsten Fall nur den Trust aufgelöst, und die Trennung ist fertig.

Grüße,
Philip
LKaderavek
LKaderavek 29.11.2019 um 16:49:53 Uhr
Goto Top
An das habe ich auch schon gedacht.

Dann habe ich aber auch für jeden Cloud Service (MDM z.B.) ein eigenes AzureAD zum an-/verbinden.

Danke für deinen Input.
LKaderavek
LKaderavek 03.12.2019 um 23:42:26 Uhr
Goto Top
Hallo,

ich habe mich nun detaillierter mit den Szenarien beschäftigt und damit zu folgendem Entschluss gekommen.

1. Multiforest-Umgebung (ohne Trust): 2x DC-VM (COMP1.com & COMP2.com)
2. ADFS für beide Domains: 2x ADFS-VM + AzureAD-Connect
3. Single Tenant AzureAD Sync
4. Single Sign On für UPN1@COMP1.com und UPN2@COMP2.com

Gibt es zu den VMs irgendwelche Einwände?

Als Einschränkung gibt es bis jetzt, dass Lync nur von MS-Partnern und extern betrieben werden könnte.
Skype for Business ist nur für eine Domain verfügbar (COMP1.com).
Beide Dinge fallen nicht ins Gewicht - Skype for Business ist evtl. interessant, aber momentan nicht relevant.

Die Netzwerk-Konfiguration könnte dann theoretisch so aussehen.
DCs im SERVER-VLAN - VLAN444
ADFSs im DMZ(-VLAN) - VLAN555
COMP1.com - VLAN661 (z.B. Clients)
COMP1.com-TECHNIK - VLAN662 (z.B. Drucker)
COMP2.com - VLAN771
COMP2.com-TECHNIK - VLAN772 (z.B. Drucker)

Die Firewall wird dann natürlich den Inter-VLAN Traffic routen.

Bzgl. der ADFS im DMZ bin ich mir nicht ganz sicher.

Bin für jeden Input dankbar.
Danke
LG