10
Domänen zusammenfassen
Hallo,
unser Zustand sind mehrere Domänen die überall in Ger verstreut sind eigene Standorte eigene DCs/DNS/DHCP
Die DNS Bereiche sind an den anderen Standorten als Sekundäre Zonen eingerichtet.
Alles funktioniert soweit.
Problem: Wenn wir nun z.B eine GPO definieren, muss ich dies wenn Sie auch an anderen Standorten gebraucht wird mehrfach tun. Wenn ein User mal zu "besuch" kommt. Muss ein neues Benutzerkonto angelegt werden weil Domäne1 den User kennt Domäne2 aber nicht.
Was ich gerne tun würde: Die Domains sollen weiter Ihre Namen und DCs behalten. Ich wollte aber einen "Forest" definieren mit einer übergeordneten Instanz. Also Mutterdomain und darunter Dom1 Dom2 Dom3. Alle GPO's die in der Mutterdomain definiert sind kann ich auch in den darunter liegenden Domains verwenden. User können einfach zwischen den verschiedenen Domains verschoben oder migriert werden usw.
Die Frage geht sowas überhaupt? Habe bei google nichts gefunden aber vielleicht stelle ich auch die falschen Fragen...
Hat jemand damit Erfahrung?
Hat jemand eine Art Leitfaden?
Über eine Antwort freut sich Lenny4me (-;
unser Zustand sind mehrere Domänen die überall in Ger verstreut sind eigene Standorte eigene DCs/DNS/DHCP
Die DNS Bereiche sind an den anderen Standorten als Sekundäre Zonen eingerichtet.
Alles funktioniert soweit.
Problem: Wenn wir nun z.B eine GPO definieren, muss ich dies wenn Sie auch an anderen Standorten gebraucht wird mehrfach tun. Wenn ein User mal zu "besuch" kommt. Muss ein neues Benutzerkonto angelegt werden weil Domäne1 den User kennt Domäne2 aber nicht.
Was ich gerne tun würde: Die Domains sollen weiter Ihre Namen und DCs behalten. Ich wollte aber einen "Forest" definieren mit einer übergeordneten Instanz. Also Mutterdomain und darunter Dom1 Dom2 Dom3. Alle GPO's die in der Mutterdomain definiert sind kann ich auch in den darunter liegenden Domains verwenden. User können einfach zwischen den verschiedenen Domains verschoben oder migriert werden usw.
Die Frage geht sowas überhaupt? Habe bei google nichts gefunden aber vielleicht stelle ich auch die falschen Fragen...
Hat jemand damit Erfahrung?
Hat jemand eine Art Leitfaden?
Über eine Antwort freut sich Lenny4me (-;
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144429
Url: https://administrator.de/contentid/144429
Ausgedruckt am: 28.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo Lenny..
Gibt es eine leere Forrest Root Domäne. als Mutter ALLER Domänen..
Wenn ja, könnte man dein Vorhaben "durchdrücken".
Zu deinem Probelm mit den Usern: Hast du eine transitive Vertrauenstellung ?!
Gruß
Carsten
Gibt es eine leere Forrest Root Domäne. als Mutter ALLER Domänen..
Wenn ja, könnte man dein Vorhaben "durchdrücken".
Zu deinem Probelm mit den Usern: Hast du eine transitive Vertrauenstellung ?!
Gruß
Carsten
Hallo Carsten,
Ich erstelle eine Forrest Root Domäne indem ich auf einem Server eine neue Domain anlege ist das korrekt? Falls ja kann ich so eine Root Domain natürlich erstellen. Virtualisierung sei Dank.
Hast du einen Leitfaden oder sowas in der Art "Durchdrücken" klingt nicht vertrauenserweckend... Die Sache sollte schon Hand und Fuß haben.
Würde mich über eine Antwort freuen.
Ich erstelle eine Forrest Root Domäne indem ich auf einem Server eine neue Domain anlege ist das korrekt? Falls ja kann ich so eine Root Domain natürlich erstellen. Virtualisierung sei Dank.
Hast du einen Leitfaden oder sowas in der Art "Durchdrücken" klingt nicht vertrauenserweckend... Die Sache sollte schon Hand und Fuß haben.
Würde mich über eine Antwort freuen.
Deine verschiedene Domänen sind alle eigenständige Domänen. Hab ich das richtig verstanden?
Wenn ja, dann wäre es mir neu, dass man eine solche einfach mal so unter/in einen neuen Forrest hängen kann. Jede der eigenen Domänen hat nämlich ihren eigenen Forrest - auch wenn es nur eine Domäne mit einem DC gibt.
Hast du eine wie auch immer geartete Netzwerkverbindung zwischen den ganzen Domänen?
Wenn ja, dann könntest du mit Vertrauensstellungen arbeiten, die du zwischen den einzelnen Domänen einrichtest.
Manuel
Wenn ja, dann wäre es mir neu, dass man eine solche einfach mal so unter/in einen neuen Forrest hängen kann. Jede der eigenen Domänen hat nämlich ihren eigenen Forrest - auch wenn es nur eine Domäne mit einem DC gibt.
Hast du eine wie auch immer geartete Netzwerkverbindung zwischen den ganzen Domänen?
Wenn ja, dann könntest du mit Vertrauensstellungen arbeiten, die du zwischen den einzelnen Domänen einrichtest.
Manuel
Manuel hat recht, ich habe mich unglücklich ausgedückt.
Im Prinzip müsstest du eine solche schon haben, nachträglich bekommst du (meines Wissens) keine oberste Domäne eingerichtet (deswegen macht man so etwas von Anfang an).
: Da wäre so, als ob du die TopLevel Domain mit der Endung ".de nachträglich" eine neue obere Domäne mit auf den Weg geben wolltest á la ".de.neu".
Aussichtslos...
Wenn du bis jetzt eigenstädige Domänen hast MUSST du mit den transitiven (die Domänen vertrauen sich gegenseitig) arbeiten, du musst aber in jeder Domänen entsprechende Rechte haben..
Gruß
Carsten
Im Prinzip müsstest du eine solche schon haben, nachträglich bekommst du (meines Wissens) keine oberste Domäne eingerichtet (deswegen macht man so etwas von Anfang an).
: Da wäre so, als ob du die TopLevel Domain mit der Endung ".de nachträglich" eine neue obere Domäne mit auf den Weg geben wolltest á la ".de.neu".
Aussichtslos...
Wenn du bis jetzt eigenstädige Domänen hast MUSST du mit den transitiven (die Domänen vertrauen sich gegenseitig) arbeiten, du musst aber in jeder Domänen entsprechende Rechte haben..
Gruß
Carsten
du musst aber in jeder Domänen entsprechende Rechte haben
Und eine entsprechende Verbindung zwischen den Domänen. Die Frage ist auch noch nicht beantwortet.
Seit Server 2008 gibt es auch noch die Active Directory Federation Services mit denen man sowas auch abbilden kann:
Mit den Active Directory®-Verbunddiensten (Active Directory Federation Services, AD FS) können Sie eine stark erweiterbare, für das Internet skalierbare und sichere Lösung für eine plattformübergreifende Identitäts- und Zugriffsverwaltung erstellen, was sowohl Windows- als auch Nicht-Windows-Umgebungen einschließt. Unter diesem Thema finden Sie eine Übersicht über die Verbesserungen in AD FS. Ausführliche Informationen zu den Verbesserungen finden Sie unter Active Directory-Verbunddiensterolle. Guggsdu: TechNet
Hallo,
via VPN ist jede Domain mit der anderen verbunden. Alle Domains sind eigenständig.
Und von Anfang schon machen ist mir schon klar :D aber da das Netzwerk schon länger existiert als mein Arbeitsplatz ist das nun halt so :D
Da Diese Filialen nicht gebaut wurden sondern immer von anderen Firmen dazugekauft wurden, hat man einfach die AD Struktur gelassen und einfach im DNS eine weitere Zone angelegt.
grüße lenny
via VPN ist jede Domain mit der anderen verbunden. Alle Domains sind eigenständig.
Und von Anfang schon machen ist mir schon klar :D aber da das Netzwerk schon länger existiert als mein Arbeitsplatz ist das nun halt so :D
Da Diese Filialen nicht gebaut wurden sondern immer von anderen Firmen dazugekauft wurden, hat man einfach die AD Struktur gelassen und einfach im DNS eine weitere Zone angelegt.
grüße lenny
Dann hast du verloren.....
Entweder du machst Nägel mit Köpfen und alles neu (die dürfen ja ruhig ihre Domänenstrukru behalten, müssten sich aber per DCPromo einer neuen übergeordneten Domäne unterwerfen) oder du arbeitest mit den Vertrauensstellungen...
Aber die angespreochenen AD FS hören sich doch nicht schlecht an, oder
Carsten
Entweder du machst Nägel mit Köpfen und alles neu (die dürfen ja ruhig ihre Domänenstrukru behalten, müssten sich aber per DCPromo einer neuen übergeordneten Domäne unterwerfen) oder du arbeitest mit den Vertrauensstellungen...
Aber die angespreochenen AD FS hören sich doch nicht schlecht an, oder
Carsten
Wenn dem so ist, dann würde ich meiner GL (und hab das hier auch schon gemacht und umgesetzt) vorschlagen das ganze AD mal auf vernünftige Beine zu stellen und sukzessive die Standorte/Filialen zu integrieren. Wie das aussehen kann ist so direkt nicht zu sagen und hängt stark von euren Gegebenheiten und Bedürfnissen ab. Das Management wird mit Sicherheit einfacher.
Ihr könnte bspw. eine neue Domäne aus dem Boden stampfen und alles andere dort integrieren. An jeden Standort einen DC als lokalen Anmeldeserver, im AD schön Standorte und Subnets pflegen, saubere OUs und Gruppen erstellen.
Oder ihr baut euch zuerst mal eine neue Root-Domäne mit je einer Sub-Domäne je Standort. Dann auch wieder schön alles im AD erstellt und gepflegt.
Das ist zwar eine heiden Arbeit, wenn man vernünftig plant aber durchaus recht schnell umzusetzen. Ist alles nur eine Frage, wie schnell du klicken und tippen kannst und wie gut die Vorbereitung ist.
Ihr könnte bspw. eine neue Domäne aus dem Boden stampfen und alles andere dort integrieren. An jeden Standort einen DC als lokalen Anmeldeserver, im AD schön Standorte und Subnets pflegen, saubere OUs und Gruppen erstellen.
Oder ihr baut euch zuerst mal eine neue Root-Domäne mit je einer Sub-Domäne je Standort. Dann auch wieder schön alles im AD erstellt und gepflegt.
Das ist zwar eine heiden Arbeit, wenn man vernünftig plant aber durchaus recht schnell umzusetzen. Ist alles nur eine Frage, wie schnell du klicken und tippen kannst und wie gut die Vorbereitung ist.
jipp, so würde ich es auch machen...
Carsten
Carsten
Ich danke für die zahlreichen Kommentare.
Werde mal schauen wie ich das umsetze.
Werde mal schauen wie ich das umsetze.
