winlin
Goto Top

AD Struktur

Hallo Leute,

wir planen gerade die AD Struktur und ich habe ein paar Fragen. Aktuelles Beispiel:
DOMAIN.COM
OU=Standort1
OU=Standort2
OU=Standort3

In jedem Standort gibt es ein OU=Servers. Diese unterteile ich in veschiedene Abteilungen (Security/Netzwerk, Infrastruktur) Nun die Frage, kann ich denn die Systeme die in diesen beiden Bereichen drin sind in weiteren OUs aufteilen oder macht das keinen Sinn??? Zb im Bereich Infrastruktur weitere OUs für Backup, Monitoring, DNS usw. Macht das Sinn oder ist das sicherheitstechnisch schlecht (da man ja so sieht welche Systeme sich in den OUS befinden???

Dann noch ne Frage zu den Gruppen. Es gibt ja die Bulit-IN Groups - Ich benötige Account Operators, die in allen OUs (Standorten) accounts/gruppen anlegen löschen und ändern darf. Wen ich der Master-Admin aller Standorte bin dann trage ich mich in diese Gruppe ein, oder??? Wenn ich aber diese Funktionen einen Admin an einen der Standorte geben will, dann muss ich diese Rechte "delegieren", oder? Das mache ich ja unter Advanced->und dann principal privileges....welche Rechte muss ich ihm denn dann hier geben???

Das geiche Frage ich mich bzgl. GPO-Admin. Ich als Masteradmin welche Rechte muss ich mir erteilen bzw. in welche Gruppe muss ich rein? Und wenn ich an den Standorten die dortigen ADmins die erlaubnis geben möchte ihre GPOs selber zu pflegen welche Rechte muss ich denen geben?

Dann benötige ich noch Admins die Computer Objekete anlgen, löschen und ändern durfen. Wie sieht es dann hier aus? Bin dabei für jede wichtige Funktion, bestimmten Admins die rechte zu erteilen nur benötige ich ne übersicht welche Rechte ich den Admins geben soll und wo ich das einstelle

Content-Key: 303237

Url: https://administrator.de/contentid/303237

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: 127944
127944 29.04.2016 um 10:45:34 Uhr
Goto Top
Moin.

sorry, aber bist du dir wirklich sicher, das du dir das Thema zutraust?
Mitglied: winlin
winlin 29.04.2016 um 11:44:12 Uhr
Goto Top
machs ja nicht alleine....das werden profis machen...nur möchte ich verstehen wie da gehtface-smile
Mitglied: 127944
127944 29.04.2016 um 11:47:48 Uhr
Goto Top
Sorry, aber ich bin davon überzeugt, das für Grundlagen ein Forum das falsche Medium ist. Im Internet gibt es dafür zu Hauf Literatur, die du dir erst einmal ansehen solltest. Bei konkreten Problemen helfe ich gerne weiter.
Mitglied: KMUlife
KMUlife 29.04.2016 um 12:00:29 Uhr
Goto Top
Hallo winlin

Wenn du das nicht selber machst, aber einfach bescheid wissen willst, dann schau dir das mal an:
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.

Grüsse
KMUlife
Mitglied: Winary
Winary 29.04.2016 um 16:56:13 Uhr
Goto Top
Zitat von @KMUlife:
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.

Gibts sogar in Farbe und "aktueller" face-big-smile
http://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#d ...

Grüße Winary
Mitglied: agowa338
agowa338 30.04.2016 aktualisiert um 03:54:23 Uhr
Goto Top
Designing OU Structures that Work

Sicherheitstechnisch ist es egal, weil standardmäßig haben alle Domänen-Benutzer das Recht alle Geräte im gesamten Active Directory Aufzulisten...

Wenn ich aber diese Funktionen einen Admin an einen der Standorte geben will, dann muss ich diese Rechte "delegieren", oder?
Prinzipiell, ja. Das ist jedoch schon sehr tief in der Thematik. Eventuell solltest du dir die Grundlagen als erstes aneignen.
Grundlegendes findest du z. B. in den Active Directory Teile der Kurse:
- 70-410
- 70-411
- 70-412
Dann benötige ich noch Admins die Computer Objekete anlgen, löschen und ändern durfen.
Jeder Domänen-Benutzer hat standardmäßig auch das Recht bis zu 10? Geräte in die Domäne auf zunehmen...
Mitglied: 127944
127944 30.04.2016 um 14:06:53 Uhr
Goto Top
Zitat von @agowa338:
Jeder Domänen-Benutzer hat standardmäßig auch das Recht bis zu 10? Geräte in die Domäne auf zunehmen...
Aber nicht auf diesem Planeten
Mitglied: agowa338
Lösung agowa338 01.05.2016 aktualisiert um 23:27:16 Uhr
Goto Top
Zitat von @127944:
Aber nicht auf diesem Planeten
Doch
By default, Windows 2000 allows authenticated users to join ten machine accounts to the domain. If a user attempts to join an eleventh machine account, the error messages listed in the following Microsoft Knowledge Base Article are displayed:
https://support.microsoft.com/en-us/kb/243327
Das wurde mit Windows 2000 eingeführt und ist bis heute enthalten. Nur ist es den meisten nicht bekannt...
Das kann in per GPO (Sicherheitsrichtlinie - Zuweisen von Benutzerrechten) deaktiviert werden...