4
AGDLP nur für Multi-Domänen-Umgebung?
Ich prügel mich gerade durch die ersten MCSA-Zertifizierungen und bin dabei über folgendes gestolpert:
Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP
Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.
Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.
Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.
Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Die Standard-Gruppenstrategien sind:
AGP
ADLP
AGDLP
AGUDLP
AGLP
Dabei wird die dritte Strategie ausdrücklich als die Gebräuchlichste definiert. Dann wird aber gelehrt, dass man AGDLP erst im domänenübergreifenden Einsatz benötigt.
Jetzt wird's persönlich:
Wir (meine Firma) arbeiten in einer Windows 2000 nativ Umgebung. Es gibt nur eine Domäne mit mehreren räumlich getrennten und per WAN verbundenen OUs. Über alle OUs verteilt sind es höchstens 300 User. OU-Übergreifende Berechtigungen kommen bisher nur vereinzelt vor, werden aber zukünftig (ein bisschen) mehr werden.
Bisher wurden Berechtigungen und Gruppen nach Bedarf erstellt und gepflegt. Eben eine gewachsene Sache.
Jetzt ist's unübersichtlich geworden und ich wurde losgeschickt, um mich schlau zu machen.
Ich finde den AGDLP-Ansatz eigentlich Klasse, bin jetzt aber unsicher, ob es nicht vielleicht noch weitere Ansätze zur Gruppenorganisation gibt (so aus der Praxis heraus) und ob ich nicht mit AGDLP als Kanone auf unsere Spatzen-Domäne schiesse. AGLP ist ja eigentlich nur als Kompatibilitäts-Kompromiss für NT 4.0 gedacht und AGP scheint mir widerum zu schlicht.
Ich hätte gern etwas Sicherheit.
Ich danke schon mal im Voraus, mit der Zuversicht, dass ihr mir helfen könnt ...und wollt.
Gruß
Arne
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 75512
Url: https://administrator.de/contentid/75512
Ausgedruckt am: 26.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Der MCSE ist zwar paar Jahre her, aber woran ich mich noch erinnere:
Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.
Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.
Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.
Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.
Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.
Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.
Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Globale Gruppen können nur Mitglieder aus der EIGENEN Domäne aufnehmen, man kann sie jedoch für Berechtigungen an Ressourcen aus ALLEN vertrauten Domänen verwenden.
Domänenlokale Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, man kann sie jedoch nur für Berechtigungen an Ressourcen aus der EIGENEN Domäne verwenden.
Universelle Gruppen können Mitglieder aus ALLEN vertrauten Domänen aufnehmen, und man kann ihnen Berechtigungen an Resourcen aus ALLEN vertrauten Domänen geben.
Letztendlich ist es Deine eigene Entscheidung, was Du in Deinem Umfeld für Gruppenstrukturen brauchst.
Die AGDLP ist sinnvoll bzw. das "theoretische Optimum" bei komplexen Gesamtstrukturen und zielt auf Übersichtlichkeit und Reduzierung des Replikations-Verkehrs.
Steckst Du jedoch anstatt von globalen Gruppen eventuell einzelne Useraccounts in eine domänenlokale Gruppe in einer Domäne die Berechtigung auf eine bestimmte Ressource hat, funktioniert das genauso - es wird jedoch mehr Replikationstraffic erzeugt, was bei sehr komplexen Strukturen nicht unerheblich ist und gerade bei WAN Verbindungen die zur Replikation dienen vermieden werden "sollte".
Auch der Einsatz von universellen Gruppen sollte nicht übertrieben werden.
Ich denke in einer relativ kleinen Gesamtstruktur mit drei Domänen und 300 Usern ist das jedoch unerheblich. Wir stecken auch einzelne Useraccounts in domänenlokale Gruppen, und das hat bisher auch noch nie Probleme gemacht, trotz vielfacher Benutzerzahl.
Eventuell hat noch jemand anders ne Meinung - Domänengruppensex ist nicht meine Hauptbeschäftigung.
Hallo einfach-mal-die-klappe-halten,
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
vielen Dank für deine Antwort, die Funktionen der einzelnen Gruppentypen sind mir aber schon geläufig. Es geht mir mehr um die Vor- und Nachteile der Strategien. Macht AGDLP auch in einer Ein-Domänen-Umgebung sinn? Oder sollte man doch lieber ADLP nutzen? Oder schränkt man sich damit zu sehr ein? Wie sieht es mit dem administrativen Aufwand für AGDLP aus? Oder gibt es noch völlig andere Lösungen?
Gruß
Arne
Das kann man doch letztendlich machen wie man moechte.
Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".
Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.
Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.
Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.
Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.
Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.
So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.
Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.
Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Die gelehrte Theorie besagt - fasse Benutzer-Konten, die die gleichen Berechtigungen haben sollen, in globalen Gruppen zusammen.
Z. B. Globale Gruppe "Manager", Globale Gruppe "Benutzer" usw.
Um nun den Benutzern letztendlich Berechtigungen zukommen zu lassen, wird empfohlen, die jeweiligen globalen Gruppen eben in domänenlokale Gruppen zu stecken (verschachteln) und dieser domänenlokalen Gruppe dann eine bestimmte Berechtigung zu geben,
z. B. domänenlokale Gruppe "Drucker-Benutzer" oder domänenlokale Gruppe "Geschäftsleitung-Dokumentation".
Keiner hindert dich jedoch daran, in eine domänenlokale Gruppe auch einzelne Useraccounts zu stecken - in vielen Fällen ist das sogar sinnvoll.
Reales Beispiel:
Ich habe eine Gesamtstruktur die aus 57 Domänen besteht. Benutzer aus ALL diesen Domänen sollen auf eine ganz bestimmte Ressource zugreifen dürfen - VPN Zugriff.
Dazu habe ich eine domänenlokale Gruppe erstellt namens "VPN-Benutzer".
In diese Gruppe stecke ich jeden User aus jeder beliebigen der 57 vertrauten Domänen rein, der VPN machen können soll. Und fertig.
Nach der AGDLP Strategie müsste ich in jeder dieser 57 Domänen eine globale Gruppe erstellen die sich "VPN-Benutzer" nennt, in jede dieser 57 Domänen die Benutzer aus der jeweiligen Domäne in diese globale Gruppe stecken, und all diese 57 globalen Gruppen in die domänenlokale Gruppe "VPN-Benutzer" stecken.
Es erscheint mir in diesem Fall einfacher, die Benutzer aus all diesen Domänen, die VPN machen können sollen, einfach in die domänenlokale Gruppe "VPN-Benutzer" zu stecken.
Der Einsatz von globalen Gruppen im genannten Beispiel würde jedoch durchaus Sinn machen - wenn der Admin jeder dieser Domänen SELBST bestimmen können soll, welcher seiner User VPN machen können soll! Er hat nämlich die Kontrolle über seine globale Gruppe, und kann jeden reinstecken aus seiner Domäne, den er drin haben will.
Ich dagegen müsste nur die 57 globalen Gruppen in meine domänenlokale Gruppe VPN-Benutzer stecken, und welche Benutzer in diesen globalen Gruppen sind wäre mir völlig wurst.
Bei Domaincontrollern die über "langsame" WAN Strecken miteinander kommunizieren ist jedoch der Replikationstraffic ein Faktor dem man Beachtung schenken muss.
Da macht dann der Einsatz der AGDLP Strategie eventuell eher Sinn, da - wie gesagt - diese Strategie die Replikationsdatenmenge verringert.
So gesehen - kommt es immer drauf an was man will, und was der einfachste Realisierungsweg wäre um den Bedarf - abhängig von den Randbedingungen - zu realisieren.
Für die MCSE Prüfungen ist die Antwort jedoch immer AGDLP. Die wollen einfach abtesten, ob Du das PRINZIP kapiert hast. Wie du das dann in der Praxis umsetzt bleibt Dir selbst überlassen und hängt von vielen Bedingungen ab die Du selber ausloten musst.
Hoffe damit ein wenig zur Verwirrung begetragen zu haben.
Ich dachte nur, dass es eventuell weitere Konzepte gibt, um einen erneuten Wildwuchs zu verhindern.
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
Ok, ich vermute da wahrscheinlich zu viel Kreativitätspotential. Dein Beispiel und dein Kommentar
dazu hat es gut erklärt: Einfach pragmatisch rangehen und zur Not den Standard verbiegen, bis das gewünschte Ergebnis rauskommt. Obwohl ich versuchen möchte, ein möglichst standardisiertes System aufziehen zu können.
Ich danke dir.
Gruß
Arne
