panguu
Goto Top

Active Directory Struktur in einer Firma mit Abteilungen

Hallo,

ich tüftle gerade daran, wie ich die neue AD Struktur erstellen könnte und nach langem Hin- und Herlesen bin ich leider nicht ganz schlüssig geworden. Ich möchte versuchen so flach wie möglich zu bleiben, und beabsichtige kein geografisches Modell zu nutzen (also nicht nach Ländern, Filialen, oder Gebäuden, Etagen, usw...) die Firma ist nicht besonders groß und das wäre nur unnötig komplex meiner Ansicht nach.

ich habe zwei Varianten, bin mir aber nicht sicher welche Vor-/Nachteile diese bieten:

(1):
Im Stamm meiner AD-Domäne "corp.meinefirma.com" habe ich erstmal eine neue OU namens "Meine Firma GmbH" erstellt. Darin dann jeweils neue OUs erstellt, welche die einzelnen Abteilungen darstellen. Und in all diesen Abteilungs-OUs habe ich jeweils eine weitere OU erstellt namens "Arbeitsstationen" und "Benutzer". Eine extra OU unterhalb meiner Firma namens "Gruppen" soll die Sicherheitsgruppen beinhalten. Das sieht ungefähr so aus, wobei ich hier auch die defaultmässigen mit aufgeführt habe, da ich diese nicht löschen oder bewegen kann:

[Active Directory Users and Computers:]
..corp.meinefirma.com
Domain Controllers
ForeignSecurityPrincipals
Computers
Builtin
Users
Meine Firma GmbH
Gruppen
Vertrieb
Arbeitsstationen
Benutzer
Einkauf
Arbeitsstationen
Benutzer
Marketing
Arbeitsstationen
Benutzer

(2):
die andere Möglichkeit wäre eben, dass ich vorher schon zwischen "Arbeitsstationen" und "Benutzer" unterscheide, also so ...

[Active Directory Users and Computers:]
..corp.meinefirma.com
Domain Controllers
ForeignSecurityPrincipals
Computers
Builtin
Users
Meine Firma GmbH
Gruppen
Arbeitsstationen
Vertrieb
Einkauf
Marketing
Benutzer
Vertrieb
Einkauf
Marketing


Ich wüßte echt nicht, welche Vor-/Nachteile zwischen Variante 1 oder 2 vor allem in Bezug, falls ich GPOs verteilen möchte später im laufenden Betrieb. Bin für jeden Tip und Erklärung sehr dankbar.

Grüße,
Pangu

Content-ID: 253109

Url: https://administrator.de/contentid/253109

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

xbast1x
xbast1x 27.10.2014 um 07:42:53 Uhr
Goto Top
Hallo Pangu,

wir haben die AD Struktur zwischen Abteilungen (Benutzer) unterschieden. Die Clients laufen unter einer OU. Bisher sehe ich keine Nachteile. Wenn die Clientrechner unterschiedliche Konfigurationen haben sollen, bietet sich eventuelle eine Aufteilung nach Abteilung an. Ist dies nicht der Fall, kannst du die Clients in eine OU packen.
panguu
panguu 27.10.2014 um 10:03:52 Uhr
Goto Top
? Hab ich jetzt nicht ganz verstanden. Meinst du also ich solle eher (1) oder (2) anstreben?
xbast1x
xbast1x 27.10.2014 um 10:06:21 Uhr
Goto Top
Das Kommt darauf an wie ihr aufgestellt seid. Wie ich bereits geschrieben habe, haben die Rechner alle die gleichen Konfiguration (Softwareverteilung, GPO, etc.) reicht es aus, wenn du eine OU für alle machst. Gibt es Unterschiede in den Abteilung was die Clientkonfig angeht, macht es Sinn die OU's weiter zu splitten.
panguu
panguu 27.10.2014 aktualisiert um 19:24:21 Uhr
Goto Top
Wie also sieht es bei dir aus, wenn du sagst, du hast zwischen Abteilungen/Benutzern unterschieden? Ich weiß noch nicht, welche Einstellungen in Zukunft die einzelnen Arbeitsstationen bzw. Benutzer erhalten werden, das kann ich einfach noch nicht absehen. Vor allem deswegen nicht, weil ich bisher nie mit GPOs gearbeitet habe. Sicherlich werde ich die einen oder anderen "settings" per GPO übertragen wollen. Splitten werde ich die sowieso, meine Frage bezog sich aber eher daraufhin, ob lieber Variante (1) oder (2) bzw. welche Unterschiede das ausmachen würde im Praxisbetrieb.
ITvortex
ITvortex 27.10.2014 aktualisiert um 10:31:30 Uhr
Goto Top
Hallo panguu,

ich habe es bei uns so eingerichtet:

1 OU für User und die Unterteilungen für die Computerkonten in 4 OU's (workstations, NB, TS_User, Email_Only)


Je nachdem wer was verwendet, kommt nur das Computerkonto in die entsprechende OU, die User bleiben alle in einer OU.

xbast1y meint:

OU1 = Einkauf
OU2 = Verkauf
usw...


Du musst in deinem Fall selber entscheiden wie du es handhaben willst, natürlich entsprechend der User Zahl usw...

Liebe Grüße
ITvortex
panguu
panguu 27.10.2014 um 10:28:11 Uhr
Goto Top
Hi ITvortex,

das hat jetzt bei mir für mehr Verwirrung gesorgt :d Du sprichst von Gruppen? das verwirrt mich nun. Ich dachte Gruppen sind dazu da, um Sicherheitseinstellungen zu definieren, bzw. um eine Verteilerliste (z.B. für Exchange) zu definieren. Zum Zeitpunkt als ich meine Frage postete, dachte ich eigentlich, ich müsse meine Struktur aufbauen indem ich OUs erstelle und sie eben entsprechend verschachteln tue, da ja GPOs auf OUs angewendet werden. Bitte korrigiert mich falls ich falsch liegen sollte, dann hab ich wohl was falsch verstanden.
ITvortex
ITvortex 27.10.2014 um 10:30:56 Uhr
Goto Top
Ich wusste nicht ob du mit "OU" was anfangen kannst.

Natürlich sind OUs gemeint face-smile

Ich passe es oben an...
panguu
panguu 27.10.2014 aktualisiert um 19:26:10 Uhr
Goto Top
Wie wäre es z.B. mit folgender Struktur? Ich hab mich dabei an dieses sheet von Microsoft orientiert. Das entspricht Variante (2) von meinem Ursprungspost.

45aa6468f024157f94a3dd5afbc4076a

Ist das ok, könnte ich das so stehen lassen? Wenn ich das richtig verstanden habe, würden ja sämtliche Workstations, die ich in die Domäne anbinde in dem default-Ordner "Computers" landen, oder? Dann muss ich halt manuell durch Verschieben/Drag&Drop diese in meine entsprechende "Arbeitsstationen"-Sub-OU ziehen. Freue mich über feedback und Anregungen.
ITvortex
ITvortex 27.10.2014 um 11:39:06 Uhr
Goto Top
Und wieso gibst du deine Sub-OU nicht dementsprechend unter Computer und Users hinein?
panguu
panguu 27.10.2014 aktualisiert um 19:18:28 Uhr
Goto Top
EDIT:

Das geht ja gar nicht. Ich kann in dem defaultmäßigen Container "Users" oder "Computer" keine OU erstellen.
rzlbrnft
rzlbrnft 27.10.2014 aktualisiert um 15:11:30 Uhr
Goto Top
Ich finde es persönlich nicht übersichtlich, wenn es Ordner bzw. OUs gibt die teilweise nur ein Element enthalten. Empfehlungen helfen dir eigentlich nichts, du musst damit klarkommen.

Wenn du damit natürlich 50000 User und Computer verwalten wirst oder in jeder Abteilung andere Richtlinien verwenden musst, dann macht das Sinn, wenn nicht tust du dir damit wahrscheinlich keinen Gefallen. Wir haben z.B. nach Standort getrennt weil wir in jeder Filiale einen Fileserver für die eigenen Dateien der Benutzer stehen hatten und es so einfacher war die Freigaben zu verteilen. Mittlerweile vergeben wir aber Freigaben per GPO nach Gruppenzugehörigkeit also brauchts das eigentlich auch nicht mehr.

Interessant sind für dich eigentlich eher Fragen wie, wie kann ich am schnellsten den Computer finden den ich verwalten will, wenn ich einen User am Telefon hab. Welche Tools greifen noch aufs AD zu? Können diese mehr als eine OU anzeigen? Wie oft wechseln Mitarbeiter eine Abteilung? Ziehen Mitarbeiter zwischen Standorten um und ändern sich dann damit die Richtlinien?

Sowohl Computerobjekte als auch Userobjekte können im AD sämtliche Felder verwenden die es für User gibt, also auch Abteilung und Standort usw. Das lässt sich hervorragend zum ordnen und wiederfinden benutzen. Wir nutzen zur Verwaltung Hyena, das Tool kann auch auf Felder zugreifen die Über die Standardtools nicht sichtbar sind.
panguu
panguu 27.10.2014 um 15:32:00 Uhr
Goto Top
Danke für deine Meinung. Nunja, ich glaube, mir fehlt es leider noch an Erfahrung wie das in der Praxis mit dem AD aussieht. Ich denke, ich werde wohl erst im laufenden Betrieb merken und verstehen lernen, wo die jeweiligen Vor-/Nachteile liegen. Einen interessanten Punkt hast du aber angesprochen:

du meintest, man kann GPO's auch anhand der Gruppenzugehörigkeit verteilen (auf Computer oder Benutzerebene, oder beides möglich?). Wie genau geht das? Gibt's evtl. irgendwo im Internet ein gutes Tutorial, welches mit Beispielen beschreibt, wie man Basics mit Hilfe der GPOs in einer AD-Struktur konfiguriert? Also mich interessieren grad die simplen Sachen, wie z.B:

- wie und welche Art von Gruppen erstelle ich (globale? local-domain? universal?), um einen freigegeben Ordner namens "Projekt1" zugreifbar für den Innendienst und für das Marketing zu machen

- Logonskript oder Netzlaufwerkmappings zu erstellen, so daß alle Mitglieder der Gruppe "Vertrieb" das Laufwerk V:\auf \\meinfileserver\vertrieb gemappt bekommen

- Alle Mitarbeiter einen von mir festgelegten Desktophintergrund mit dem Logo der Firma zugeteilt bekomme

...usw...
rzlbrnft
rzlbrnft 27.10.2014 um 15:54:00 Uhr
Goto Top
Da gibt es viele Möglichkeiten.
Man kann GPOs zum Beispiel im Lesezugriff beschränken, dann können auch nur bestimmte Gruppen diese übernehmen.
Dann gibt es die GPPs, die findest du z.B. unter Benutzerkonfiguration>Einstellungen. Die haben die Möglichkeit der clientseitigen Zuordnung, z.B. zu bestimmten Benutzergruppen oder auch Betriebssystemversion und ähnlichen Angaben.
Und es gibt WMI Filter, die benutzen wir z.B. um zwischen 32bit und 64bit zu unterscheiden, oder auch um den PDC-Emulator zu bestimmen.

Du wirst wenn du damit länger arbeitest dein System wahrscheinlich eh noch zehnmal umwerfen bis du es so hast wie es für eure Situation am besten nutzbar ist. Am wichtigsten ist meiner Meinung nach die Gruppeneinteilung. Hier solltest du mit den einzelnen Abteilungsleitern absprechen welche Rechte wer haben muss und wer wo reinschreiben darf, hier solltest du nicht zu sparsam sein, Probleme wie nicht mehr aufzufindende Ordner weil der Abteilungsleiter versehentlich was in seine Abteilung geschoben hat was für alle zugänglich sein sollte sind keine Seltenheit.
panguu
panguu 27.10.2014 aktualisiert um 19:22:35 Uhr
Goto Top
Kommentar von ITvortex:
Und wieso gibst du deine Sub-OU nicht dementsprechend unter Computer und Users hinein?

Weil das nicht geht? face-smile Ich kann in dem default container "Computers" oder "Users" keine OU erstellen.

Um auf den Sachverhalt von vorhin zurückzukommen: kann mir bitte jemand erklären was es denn für einen Unterschied macht, wenn ich Variante (1) oder (2) verwenden würde? Ich mein, ich kann doch eine GPO ganz gezielt zuweisen, also mit einer OU verknüpfen. Wenn ich z.B. eine userbasierte GPO auf die Marketing-Abteilung anwenden möchte, dann kann ich das sowohl mit der Variante (1) als auch mit (2) bewerkstelligen.

Bei Variante (1) klick ich ganz einfach auf -->Marketing--> Benutzer und weise die GPO zu.
Bei Variante (2) klick ich ganz einfach auf -->Benutzer -->Marketing und weise die GPO zu.

Wo ist also das Problem zwischen (1) oder (2). Oder hab ich 'nen Denkfehler? bitte klärt mich auf
rzlbrnft
Lösung rzlbrnft 28.10.2014 aktualisiert um 11:40:36 Uhr
Goto Top
In deinem Fall ist kein Unterschied, wenn du aber eine GPO hast die für alle Benutzer gilt würdest du die einfach im übergeordneten Ordner "Benutzer" verknüpfen, bei Variante 1 müsstest du sie entweder in jedem Benutzerordner Verknüpfen oder noch eine Ebene drüber, was du eventuell nicht willst.

Aber wie gesagt, was für deine Struktur am besten ist, wirst du erst im laufenden Betrieb merken, jede Firma arbeitet anders.

Ich hab z.B. meine Gruppen geordnet nach Software/Verteiler/Dateizugriff, meine Computer nach Standort und meine Benutzer lediglich in Mitarbeiter/Sonstige/Ausgeschiedene. Drucker haben wir gar nicht im AD angelegt, für mich hat sich daraus noch kein wirklicher Nutzen ergeben. Windows Update/Virenscanner/Proxy Einstellungen werden hier nach Standort vergeben, Freigaben übergeordnet anhand der Netzlaufwerke wo der Nutzer auch per Gruppe Zugriff hat. Dazu gibt es noch eine Default PC Policy, in der auch Benutzereinstellungen vergeben sind die per Loopback an jeden Benutzer vergeben werden der sich an einer bestimmten Maschine anmeldet.

Ich empfehle dir bei der Erstellung deiner Richtlinien, lieber mehrere kleinere GPOs zu machen als alles in eine große GPO zu packen. Das hilft beim Testen und bei der Übersicht.
xbast1x
xbast1x 28.10.2014 um 11:15:36 Uhr
Goto Top
panguu, am Ende kannst du dein Konzept nochmal komplett ändern. Du wirst im laufenden Betrieb sehen, was passt und was nicht. Die Clients und Benutzer sind (je nach GPO) nur geringermaßen eingeschränkt sollte sich etwas in der Struktur ändern. Von daher, mach dich da nicht all zu viel zurück.

Der Aufbau ist vorallem für dich wichtig und soll dir als arbeitserleichterung dienen. Ich denke in diesem Thread wurde soweit alles gesagt.


Grüße Sebastian.
panguu
panguu 28.10.2014 aktualisiert um 11:53:20 Uhr
Goto Top
...wenn du aber eine GPO hast die für alle Benutzer gilt würdest du die einfach im übergeordneten Ordner "Benutzer" verknüpfen, bei Variante 1 müsstest du sie entweder in jedem Benutzerordner Verknüpfen oder noch eine Ebene drüber, was du eventuell nicht willst.

DAS ist ein Argument. Stimmt, würde ich Variante (1) wählen, müsste ich das Gruppenrichtlinienobjekt erstellen, und dann überall in den Sub-OU's namens "Benutzer" in dieser Struktur verknüpfen

Meine Firma GmbH
Vertrieb
Benutzer
Einkauf
Benutzer
Marketing
Benutzer

Demnach wäre Variante (2) für diesen Fall eleganter, denn da kann ich das GPO direkt nur mit einer einzigen OU verknüpfen, und es wirkt sich auf alle Benutzerkonten aus:

Meine Firma GmbH
Benutzer
Vertrieb
Einkauf
Marketing

Ich werde jetzt also erstmal Variante (2) für meine initiale Konfiguration herziehen. Und wie ihr schon gesagt habt: ich denke der Rest kommt dann mit dem Laufe der Zeit in der Praxis. Dann muss ich halt wohl oder übel noch umkrempeln oder weiter granuliert anpassen.

Eine abschließende Frage habe ich jedoch noch. Du sagtest:
... Freigaben übergeordnet anhand der Netzlaufwerke wo der Nutzer auch per Gruppe Zugriff hat.

Wie kann ich denn einer OU, z.B. dem "Marketing" ein Laufwerk mappen so daß alle Benutzer dieser OU nach ihrer Windows-Anmeldung den Laufwerksbuchstaben "M:\" haben, der auf die Freigabe "\\fileserver\marketing" zeigt. Geht das überhaupt? Falls ja, dann brauch ich ja erstmal auch gar keine Loginskripte mehr in meiner neuen AD-Domäne, das wäre super.

Vielen herzlichen Dank euch allen soweit! Schönen Tag wünscht,
Pangu
MATTI24
MATTI24 28.10.2014 aktualisiert um 14:44:59 Uhr
Goto Top
Hallo,

aus meiner Sicht sind beide o.g. Strukturen zu unübersichtlich. Warum die Benutzer noch einmal so teilen? Wenn du später feststellst doch noch eine OU zu benötigen, kannst du das ja immer noch.

Das Laufwerksmapping pro Abteilung ist, wenn ich mich richtig erinnere, durchaus möglich. Ich würde es aber über ein gemeinsam gemapptes Laufwerk mit Shares über die einzelnen Abteilungen lösen- Stichwort DFS-. Die Rechte kannst du dann über Gruppen verteilen. Dafür gibt es das AGDLP Prinzip.

Wenn ich es noch richtig erinnere, könnte man sogar die GPOs so gestalten, dass nur die für den Benutzer/Gruppe freigegebenen Shares sichtbar sind.

Meine Empfehlung: So unkompliziert wie möglich. Die Implementierung ist der erste Schritt. Danach steht die tägliche Wartung. Die Anforderungen ändern sich täglich. Darauf muss dann schnell und flexible reagiert werden können:
Benutzer A wechselt nach B,
Abteilung X braucht die Rechte für Verzeichnisse von Y etc..

In diesem Sinne

Matti


PS:

Wenn ich mal zitieren darf?

Ian McLean u.a.:

"Zwar begehen Sie mit zu wenig Organisationseinheiten und Gruppenrichtlinienobjekten auch einen Fehler, doch die meisten von uns legen eher zu viele an. Bleiben Sie bei einfachen Strukturen." Windows Server 2008 70-646
xbast1x
xbast1x 28.10.2014 um 14:15:22 Uhr
Goto Top
Die Zuordnung der Laufwerke ist ganz einfach:

in der Gruppenrichtlinienverwaltung - Benutzer - Einstellungen - Windows Einstellungen - Laufwerkzuordnung

Dort den Buchstaben sowie Pfad angeben.
rzlbrnft
rzlbrnft 28.10.2014 aktualisiert um 14:45:11 Uhr
Goto Top
xbast1x hats ja schon gesagt, unter genau dem Punkt gibts auch ein zweites Register "Gemeinsame Optionen", wo du die Zielgruppenadressierung nach bestimmten Kriterien durchführen kannst. In deinem Fall wäre das dann "Sicherheitsgruppe XYZ".