16
Active Directory - Best Practices?
Hallo Kollegen!
Ich beschäftige mich im Augenblick mit der Konzeption einer AD-Struktur. Aktuell werden Verzeichnisrechte etc. über Novell-Server realisiert; diese sollen ersetzt werden.
Eine Migration von NDS nach AD kommt in unserem Fall nach bisherigen Überlegungen nicht in Frage, da die existierenden Strukturen teils redundant, teils unvollständig, teils inkonsistent sind. Aus diesem Grund wurde beschlossen, eine vollständig neue Verwaltungsstruktur zu implementieren.
Nun ist es so, daß wir bisher nur wenig Erfahrungen mit der Entwicklung einer Acitve Directory haben und eine sehr fein unterteilte Organisationsstruktur abbilden müssen. Auch eine Schulung warf hier mehr Fragen auf, als daß sie Lösungen brachte.
Deshalb meine Fragen:
Wenn mir jemand Tips geben kann, wäre das echt super. Vielen Dank schon einmal für eure Unterstützung!
Grüße,
Strolch
Ich beschäftige mich im Augenblick mit der Konzeption einer AD-Struktur. Aktuell werden Verzeichnisrechte etc. über Novell-Server realisiert; diese sollen ersetzt werden.
Eine Migration von NDS nach AD kommt in unserem Fall nach bisherigen Überlegungen nicht in Frage, da die existierenden Strukturen teils redundant, teils unvollständig, teils inkonsistent sind. Aus diesem Grund wurde beschlossen, eine vollständig neue Verwaltungsstruktur zu implementieren.
Nun ist es so, daß wir bisher nur wenig Erfahrungen mit der Entwicklung einer Acitve Directory haben und eine sehr fein unterteilte Organisationsstruktur abbilden müssen. Auch eine Schulung warf hier mehr Fragen auf, als daß sie Lösungen brachte.
Deshalb meine Fragen:
- Gibt es Best Practices zum Thema "AD-Design"? Ich habe schon einige Zeit mit der Recherche verbracht und dabei leider oft widersprüchliche Informationen gefunden.
- Existiert vielleicht ein Buch oder Tutorial zum Thema? Ich kenne bisher das Buch "Windows Server 2012 R2" von U. Boddenberg. Dieses Buch deckt gut die technischen Aspekte des Serverbetriebs ab, behandelt aber keine Konzeptionsfragen.
Wenn mir jemand Tips geben kann, wäre das echt super. Vielen Dank schon einmal für eure Unterstützung!
Grüße,
Strolch
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305241
Url: https://administrator.de/forum/active-directory-best-practices-305241.html
Ausgedruckt am: 18.04.2025 um 05:04 Uhr
16 Kommentare
Neuester Kommentar
Hallo Strolch
"Best Practice" ist einfacher gesagt als umgesetzt
Wenn ihr was abbilden müsst, das schon bestehend ist wird man wahrscheinlich ein mittelweg finden müssen.
Aber folgender Thread hilft dir allenfalls weiter:
AD Struktur
"Best Practice" (aus dem obigen Thread):
Rheinwerk Computing
*Edit* sehe gerade das du genau dieses Buch "zitierst" --> ist ja grundsätzlich nicht sehr technisch sondern sehr klar geschrieben was "Best Practice" ist.
Vlt. solltest du eher die aufgekommenen Fragen erläutern, wenn dieses Buch nicht hilft.
Grüsse
KMUlife
"Best Practice" ist einfacher gesagt als umgesetzt
Wenn ihr was abbilden müsst, das schon bestehend ist wird man wahrscheinlich ein mittelweg finden müssen.
Aber folgender Thread hilft dir allenfalls weiter:
AD Struktur
"Best Practice" (aus dem obigen Thread):
Rheinwerk Computing
*Edit* sehe gerade das du genau dieses Buch "zitierst" --> ist ja grundsätzlich nicht sehr technisch sondern sehr klar geschrieben was "Best Practice" ist.
Vlt. solltest du eher die aufgekommenen Fragen erläutern, wenn dieses Buch nicht hilft
.Grüsse
KMUlife
Hallo,
wie KMUlife schon gesagt hat, wenn man etwas bestehendes abbilden muss dann ist BestPractice nicht immer möglich.
Wenn Du was nicht verstanden hast, was das AD betrifft, dann stelle hier gezielte Fragen und dir können Antworten gegeben werden.
Am besten Du machst einen Plan wie es sein soll (grafisch) und zeigst den dann mit Erläuterungen.
Es kann sein das ein genaues Abbilden des vorhandenen nicht geht oder null Sinn macht und das AD es anders machen muss und dann muss man es so machen wie das ad es haben will und nicht so wie man es gerne hätte.
Gruß
Chonta
wie KMUlife schon gesagt hat, wenn man etwas bestehendes abbilden muss dann ist BestPractice nicht immer möglich.
Wenn Du was nicht verstanden hast, was das AD betrifft, dann stelle hier gezielte Fragen und dir können Antworten gegeben werden.
Am besten Du machst einen Plan wie es sein soll (grafisch) und zeigst den dann mit Erläuterungen.
Es kann sein das ein genaues Abbilden des vorhandenen nicht geht oder null Sinn macht und das AD es anders machen muss und dann muss man es so machen wie das ad es haben will und nicht so wie man es gerne hätte.
Gruß
Chonta
@KMUlife: Danke für deine Tips. Das hilft schon ein wenig.
@Chonta: Der rein logische Aufbau einer AD mit OUs etc. ist mir klar. Verwirrend finde ich das Gruppenkonzept; hier liegt einiges im Unklaren. Ich werde versuchen, eine Darstellung der momentanen Struktur zu machen. Ich muss das aber erst einmal anonymisieren; ich bin in einer öffentlichen Verwaltung tätig und da sind solche Interna schwierig offenzulegen.
@Chonta: Der rein logische Aufbau einer AD mit OUs etc. ist mir klar. Verwirrend finde ich das Gruppenkonzept; hier liegt einiges im Unklaren. Ich werde versuchen, eine Darstellung der momentanen Struktur zu machen. Ich muss das aber erst einmal anonymisieren; ich bin in einer öffentlichen Verwaltung tätig und da sind solche Interna schwierig offenzulegen.
Die bestehende Organisationsstruktur kann man sich so vorstellen:
Es gibt n Fachbereiche, die in mehrere unterschiedliche Fachdienste unterteilt werden. In diesen Fachdiensten sitzen die jeweiligen Sacharbeiter.
Also so:
Der Aufbau sollte klar sein; man erkennt die sehr hierarchische Struktur.
Jetzt stellt sich die Frage nach der Gruppenkonzeption. Die Sachbearbeiter dürfen (in der Regel; es gibt aber Ausnahmen) nur innerhalb des jeweiligen Fachdienst Daten bearbeiten; Fachdienste dürfen sich untereinander nicht sehen, Fachbereiche schon garnicht.
Mein bisheriger Ansatz ist nun, diese Organisation auf Dateiebene abzubilden und dann mit Hilfe von Gruppen die Verzeichnisrechte zu setzen.
Soweit in Ordnung?
In unserer Schulung haben wir gelernt, daß für jedes abzubildende Verzeichnisrecht eine Gruppe zu definieren ist. Ich muss also für jeden Fachdienst mehrere Gruppe bauen, um Lese-, Schreib- oder Read-Only-Rechte zu setzen? Das wäre aber sehr umständlich...
Grüße!
Es gibt n Fachbereiche, die in mehrere unterschiedliche Fachdienste unterteilt werden. In diesen Fachdiensten sitzen die jeweiligen Sacharbeiter.
Also so:
Der Aufbau sollte klar sein; man erkennt die sehr hierarchische Struktur.
Jetzt stellt sich die Frage nach der Gruppenkonzeption. Die Sachbearbeiter dürfen (in der Regel; es gibt aber Ausnahmen) nur innerhalb des jeweiligen Fachdienst Daten bearbeiten; Fachdienste dürfen sich untereinander nicht sehen, Fachbereiche schon garnicht.
Mein bisheriger Ansatz ist nun, diese Organisation auf Dateiebene abzubilden und dann mit Hilfe von Gruppen die Verzeichnisrechte zu setzen.
Soweit in Ordnung?
In unserer Schulung haben wir gelernt, daß für jedes abzubildende Verzeichnisrecht eine Gruppe zu definieren ist. Ich muss also für jeden Fachdienst mehrere Gruppe bauen, um Lese-, Schreib- oder Read-Only-Rechte zu setzen? Das wäre aber sehr umständlich...
Grüße!
Moin,
aus Erfahrung empfehle ich immer genau einen Forest mit einer Domain, Organisationen werden dann mit OUs abgebildet. Bzgl. der Gruppen koenntest du dich zum Thema AGDLP einlesen. Das von dir beschriebene einrichten von seperaten Gruppen fuer jede Berechtigung erscheint dir im Moment umstaendlich, hat aber spaeter enorme Erleichterungen zur Folge. Man kann das anlegen der Gruppen auch scripten, dann ist das nicht soviel Handarbeit und geht recht fix.
VG,
Thomas
aus Erfahrung empfehle ich immer genau einen Forest mit einer Domain, Organisationen werden dann mit OUs abgebildet. Bzgl. der Gruppen koenntest du dich zum Thema AGDLP einlesen. Das von dir beschriebene einrichten von seperaten Gruppen fuer jede Berechtigung erscheint dir im Moment umstaendlich, hat aber spaeter enorme Erleichterungen zur Folge. Man kann das anlegen der Gruppen auch scripten, dann ist das nicht soviel Handarbeit und geht recht fix.
VG,
Thomas
Hi!
Danke für den Link; das ist sehr hilfreich. Inwiefern ist das Anlegen separater Gruppen später hilfreich?
Welches Tool nutzt man zum Scripten?
Gruß!
Danke für den Link; das ist sehr hilfreich. Inwiefern ist das Anlegen separater Gruppen später hilfreich?
Welches Tool nutzt man zum Scripten?
Gruß!
Zitat von @Strolch:
Hi!
Danke für den Link; das ist sehr hilfreich. Inwiefern ist das Anlegen separater Gruppen später hilfreich?
Wenn man das einmal sinnvoll plant und dort etwas mehr arbeit reinsteckt vermeidet man z.B. spaetere Sonderfaelle wo man "mal schnell" direkt einzelne User berechtigt.Hi!
Danke für den Link; das ist sehr hilfreich. Inwiefern ist das Anlegen separater Gruppen später hilfreich?
Welches Tool nutzt man zum Scripten?
Powershell waere mein Favorit, aber VBS, Batch etc geht auch.
Ok danke.
Powershell ist auch so ein riesiges Thema, mit dem ich mich noch intensiver beschäftigen muss. Ich denke, ich hab jetzt erst einmal genug Input. Danke dafür!
Powershell ist auch so ein riesiges Thema, mit dem ich mich noch intensiver beschäftigen muss. Ich denke, ich hab jetzt erst einmal genug Input. Danke dafür!
Hallo,
das mit den Gruppen ist eigentlich recht einfach.
Lokale Gruppe, Globale Gruppe oder Universale Gruppe.
Man kann auch wiederauch zwischen den Gruppen tauschen.
Die Frage Für Dich ist, Gibt es Vertrauensstellungen zu anderen AD Domänen die nicht zu eurer Firma gehöhren oder nicht.
Habt ihr in der Firma unterschiedliche Domains Forests etc.
Wenn eins von beidem zutrifft, das musst Du Dir mehr gedanken machen.
Ansonsten Zugriff auf Freigaben machst Du auf lokale gruppen. die benutzer kommen in globale gruppen und die globalen gruppen kommen als Mitglieder in die lokalengruppen für die Freigaben rein.
Oder du arbeitst nur mit lokalen Gruppen.
Wenn Du jenamdn hast der lesen,schreiben, löschen,ändern und so braucht dan gibt es einge gruppe mit ALL-diesen Rechten.
Wenn Du Benutzer hast die NUR lesen dürfen dan gibt es eine gruppe die nur lesen darf. (Die Benutzer die nur lesen dürfen, die dürfen auch nur in dieser gruppe sein und auch durch andere gruppenmitgleidschaften NICHT in einer gruppe die schreiben darf.)
Die Rechte im AD adieren sich immer, wenn kamand etwas nicht soll, dann wird der zugriff nicht verweigert, sondern er bekommt keinen und fertig.
Wichtig ist auch immer die VErerbung im Auge behalten.
Weil die geht von oben nach unten durch und wenn man die aufbricht ist das nur mehr Wartungsaufwand und man verliert leicht den Überblick.
Im AD legt man immer gruppen an, um einem Benutzer schnell rechte zu entziehen oder einem neuen die selben Rechte zu geben wie einem bestehenden Benutzer.
Es ist einfacher.
Gruß
Chonta
das mit den Gruppen ist eigentlich recht einfach.
Lokale Gruppe, Globale Gruppe oder Universale Gruppe.
Man kann auch wiederauch zwischen den Gruppen tauschen.
Die Frage Für Dich ist, Gibt es Vertrauensstellungen zu anderen AD Domänen die nicht zu eurer Firma gehöhren oder nicht.
Habt ihr in der Firma unterschiedliche Domains Forests etc.
Wenn eins von beidem zutrifft, das musst Du Dir mehr gedanken machen.
Ansonsten Zugriff auf Freigaben machst Du auf lokale gruppen. die benutzer kommen in globale gruppen und die globalen gruppen kommen als Mitglieder in die lokalengruppen für die Freigaben rein.
Oder du arbeitst nur mit lokalen Gruppen.
Ich muss also für jeden Fachdienst mehrere Gruppe bauen, um Lese-, Schreib- oder Read-Only-Rechte zu setzen? Das wäre aber sehr umständlich
Du musst nur das umsetzen was du brauchst.Wenn Du jenamdn hast der lesen,schreiben, löschen,ändern und so braucht dan gibt es einge gruppe mit ALL-diesen Rechten.
Wenn Du Benutzer hast die NUR lesen dürfen dan gibt es eine gruppe die nur lesen darf. (Die Benutzer die nur lesen dürfen, die dürfen auch nur in dieser gruppe sein und auch durch andere gruppenmitgleidschaften NICHT in einer gruppe die schreiben darf.)
Die Rechte im AD adieren sich immer, wenn kamand etwas nicht soll, dann wird der zugriff nicht verweigert, sondern er bekommt keinen und fertig.
Wichtig ist auch immer die VErerbung im Auge behalten.
Weil die geht von oben nach unten durch und wenn man die aufbricht ist das nur mehr Wartungsaufwand und man verliert leicht den Überblick.
Im AD legt man immer gruppen an, um einem Benutzer schnell rechte zu entziehen oder einem neuen die selben Rechte zu geben wie einem bestehenden Benutzer.
Es ist einfacher.
Gruß
Chonta
Danke für den Beitrag.
Vertrauensstellungen gibt es bei uns keine; es wird auch nur einen Forest geben. Soweit bin ich bisher schon vorgedrungen.
Die Rechtevererbung ist ein wichtiger Punkt. Da experimentiere ich gerade mit; der Link bzgl. AGDLP hilft mir da sehr. Die Vererbungshierarchie wäre demnach "lokale Gruppe" -> "globale Gruppe" -> "User" , richtig? In der lokalen Gruppe definierte Rechte werden an globale Gruppen vererbt und von da wiederum an die jeweiligen Nutzer?
Vertrauensstellungen gibt es bei uns keine; es wird auch nur einen Forest geben. Soweit bin ich bisher schon vorgedrungen.
Die Rechtevererbung ist ein wichtiger Punkt. Da experimentiere ich gerade mit; der Link bzgl. AGDLP hilft mir da sehr. Die Vererbungshierarchie wäre demnach "lokale Gruppe" -> "globale Gruppe" -> "User" , richtig? In der lokalen Gruppe definierte Rechte werden an globale Gruppen vererbt und von da wiederum an die jeweiligen Nutzer?
Hallo,
Benutzer kommen in Globale Gruppen und die Globalen Gruppen sind Mitglied von Lokalen Gruppen und den lokalen Gruppen wird der Zugriff auf eine Freigabe gebben, wobei man die Rechte im Dateisystem setzt und die Freigaberechte immer auf JEDER Vollzugriff läßt.
Wenn man von Verwrbung spricht, ist meistens die Zugriffe innerhalbt der Freigaben gemeint. Gruppenmitgleidschaften sind keine Vererbung.
Verwerbung ist
Freigabe1 > Unterodener 1 von Freigabe1 > unterodner von unterordner ...
Wenn man jetzt einer Gruppe Vollzugriff auf Freigabe1 gibt hat diese Gruppe auch VOLL-Zugriff auf alle Unterordner und Dateien.
Es seiden die Vererbung wird für bestimmte Objeckte aufgehoben.
Die Rechte werden auch immer für neu angelegte objekckte übernommen.
Gibt man einer gruppe auf Freigabe1 nur lesezugriff dann kann sie nur lesen.
Gibt man ab unterodener von unterordner Vollzugriff, dann kann ab da dann alles gemacht werden und dadrüber ist nur anschauen.
Gruß
Chonta
Vererbungshierarchie wäre demnach "lokale Gruppe" -> "globale Gruppe" -> "User" , richtig?
Nein.Benutzer kommen in Globale Gruppen und die Globalen Gruppen sind Mitglied von Lokalen Gruppen und den lokalen Gruppen wird der Zugriff auf eine Freigabe gebben, wobei man die Rechte im Dateisystem setzt und die Freigaberechte immer auf JEDER Vollzugriff läßt.
Wenn man von Verwrbung spricht, ist meistens die Zugriffe innerhalbt der Freigaben gemeint. Gruppenmitgleidschaften sind keine Vererbung.
Verwerbung ist
Freigabe1 > Unterodener 1 von Freigabe1 > unterodner von unterordner ...
Wenn man jetzt einer Gruppe Vollzugriff auf Freigabe1 gibt hat diese Gruppe auch VOLL-Zugriff auf alle Unterordner und Dateien.
Es seiden die Vererbung wird für bestimmte Objeckte aufgehoben.
Die Rechte werden auch immer für neu angelegte objekckte übernommen.
Gibt man einer gruppe auf Freigabe1 nur lesezugriff dann kann sie nur lesen.
Gibt man ab unterodener von unterordner Vollzugriff, dann kann ab da dann alles gemacht werden und dadrüber ist nur anschauen.
Gruß
Chonta
Ahja, danke. Jetzt hab ich verstanden.
Gruppenmitgliedschaften und daran hängende Berechtigungen werden also generell nicht vererbt?
Gruppenmitgliedschaften und daran hängende Berechtigungen werden also generell nicht vererbt?
Hallo,
Wenn Du einen neune Benutzer anlegst ohne einen bestehenden Benutzer als Vorlag zu verwenden wird der neue Benutzer nur in der Gruppe der Domänen-Benutzer sein.
Wenn Du einen bestehenden Benutzer als Vorlage verwendst, hat der neue Benutzer alle Gruppenmitgleidschaften des Vorlagenbenutzers übernommen und hat alle Zugriffe die der Vorlagenbenutzer hat (wenn man streickt alles über gruppen macht)
Wenn Du eine neue gruppe anlegst ist die auch von nix Mitglied und hat auch keine Mitgleider bis Du mitgleider hinzufügst.
Benutzer und Gruppen können mitgleid einer Gruppe werden in dem eine Gruppe in der sie Mitgleid sind Mitgleid einer Gruppe wird.
(Verschachtelte Gruppen)
ABER der Begriff Vererbung ist nur in Bezug auf Verzeichnissrechte im NTFS oder innerhalb der AD-OU Strucktur in Verwendung
(z.B. GPO Anwendung auf alle untergeordneten OU)
Gruß
Chonta
Gruppenmitgliedschaften und daran hängende Berechtigungen werden also generell nicht vererbt?
Wenn Du einen neune Benutzer anlegst ohne einen bestehenden Benutzer als Vorlag zu verwenden wird der neue Benutzer nur in der Gruppe der Domänen-Benutzer sein.
Wenn Du einen bestehenden Benutzer als Vorlage verwendst, hat der neue Benutzer alle Gruppenmitgleidschaften des Vorlagenbenutzers übernommen und hat alle Zugriffe die der Vorlagenbenutzer hat (wenn man streickt alles über gruppen macht)
Wenn Du eine neue gruppe anlegst ist die auch von nix Mitglied und hat auch keine Mitgleider bis Du mitgleider hinzufügst.
Benutzer und Gruppen können mitgleid einer Gruppe werden in dem eine Gruppe in der sie Mitgleid sind Mitgleid einer Gruppe wird.
(Verschachtelte Gruppen)
ABER der Begriff Vererbung ist nur in Bezug auf Verzeichnissrechte im NTFS oder innerhalb der AD-OU Strucktur in Verwendung
(z.B. GPO Anwendung auf alle untergeordneten OU)
Gruß
Chonta
Prima, das hilft mir sehr. Vielen Dank!
Hallo Strolch,
da du aus der Novell-Welt kommst wirst du auch sehr schnell merken dass die gewohnten Vorteile von Novell unter MIcrosoft nicht so einfach abzubilden sind.....
Wenn ihr eh am neu konzepieren seit, dann schau dir doch mal 8man (http://www.8man.com/) an. Damit kannst du ohne viele Umwege die Dateirechte analog zu den gewohnten Novell Rechten sehr schnell ohne das zusätzliche anlegen von List- / Read-Groups umsetzen.
Viele Grüße
da du aus der Novell-Welt kommst wirst du auch sehr schnell merken dass die gewohnten Vorteile von Novell unter MIcrosoft nicht so einfach abzubilden sind.....
Wenn ihr eh am neu konzepieren seit, dann schau dir doch mal 8man (http://www.8man.com/) an. Damit kannst du ohne viele Umwege die Dateirechte analog zu den gewohnten Novell Rechten sehr schnell ohne das zusätzliche anlegen von List- / Read-Groups umsetzen.
Viele Grüße
Hallo sleaper!
Danke für den Tipp; das schau ich mir gern an.
Grüße!
Danke für den Tipp; das schau ich mir gern an.
Grüße!
