alex.b
Goto Top

Domänenstruktur

Frage zum Aufbau

hi,

Ich habe eine Frage zum Aufbau einer neuen Domäne.

Die Gegebenheiten:
Ein Unternehmen, aufgeteilt in 7Firmen.
Manche Mitarbeiter und insbesondere der Geschäftsführer nehmen in mehreren Unternehmen rollen ein.

Ich will hier eine Unternehmens-Domäne und für jede Firma eine OU erstellen.

Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?
Erstell ich diese User dann nur außerhalb der OUs?

Über ein paar Tipps würd ich mich sehr freuen!


Vielen Danke

alex

Content-ID: 192458

Url: https://administrator.de/contentid/192458

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

clSchak
clSchak 09.10.2012 um 12:47:59 Uhr
Goto Top
Es kommt auch auf die Größe an (oh wie 2-Deutig :o) ) -

Wenn du nur eine geringe Anzahl an Leuten hast reicht es aus wenn du separate OU's erstellst, dann packst Du die Personen in den Gruppen der einzelnen Unternehmen und steuerst damit auch die Zugriffsrechte.

Die entsprechenden OU's versiehst dann mit den passenden GPO's und damit hast es recht einfach.

Die Komplizierte Variante wäre mit Domaintrusts, Child-Domains usw. aber das macht erst in großen Umgebungen wirklich sinn, da man dort ein wenig mehr Arbeit mit den Berechtigungen bekommt wenn es über mehrere Domänen geht.
Luie86
Luie86 09.10.2012 um 13:04:26 Uhr
Goto Top
Hi,

Zitat von @alex.b:
Wie verhält sich das wenn jemand eigentlich in mehreren OUs sein sollte?

Warum sollte denn dieser Jemand in 2 OU's sein?


Gruß Daniel
nasta-admin
nasta-admin 09.10.2012 um 13:30:41 Uhr
Goto Top
Hallo

In einer AD-Domain kann kein Objekt (User, Computer, etc.) in mehreren OUs sein. Die OUs ´sind eigentlich nur dazu gedacht um das AD etwas anschaulicher gestalten zu können bzw. die GPOs trennen zu können. Zugriffsrechte setzt du nicht auf die OUs sondern auf die AD-Gruppen dann.
Du kannst also prinzipiell, wenn in allen Unternehmen inerhalb der Domain die gleichen GPOs eingesetzt werden, auch auf die OUs verzichten ... wird dann aber ziemlich unübersichtlich werden.
Klassisch machst du aber ein Ungefähres Abbild des Unternehmens im AD mit den OUs.
Bsp:
domain.loc
-OU Niederlassung 1
OU Buchhaltung
User Testhans
Computer TestPC
-OU Niederlassung 2
OU Produktion
-OU Zentrale
OU Buchhaltung
User Paul Rechner
Computer buchhaltungnb01
Gruppe Buchhaltung
OU Sekretariat
OU Interne IT
usw.

(siehe auch:http://www.itcs.umich.edu/windows-forest/docs/ActiveDirectoryUsersGroup ..)

Wenn du nun Mitarbeiter hast die zwischen den Niederlassungen pendeln musst du nur aufpassen dass die Zugrifsrechte auf Fiels und Server passen, im AD lässt du sie einfach in ihrer "Heimat OU". Jeder MA wird nornmalerweise nur einer Kostenstelle zugeordnet und genau in diese OU gehlört er dann auch.

LG
psannz
psannz 09.10.2012 aktualisiert um 13:38:29 Uhr
Goto Top
sers,

zu allererst mal folgendes: ein Objekt ist, um funktional zu sein, im Verzeichnis immer genau einer OU zugeteilt.
Wenn ein AD-Objekt selbst (Objekt, nicht Verknüpfung) in >1 OU ist hast du imo ein rießen Problem. Dann passt nämlich der Distinguished Name nicht. Der kann nur auf eine OU zeigen.


Was ich in deinem Fall machen würde wäre wahrscheinlich alle Nutzer mal in eine allgemeine OU "Nutzer" zu stecken und die Zugehörigkeiten dann über Verteiler-/Sicherheits-/Universalgruppen zu regeln. Für die jeweiligen Gruppen könntest du dann ... nennen wir es mal Firmen-OUs bilden.

Zugriffsrechte müssen dann natürlich auf die passenden Gruppen vergeben werden und nicht auf Einzelpersonen.

Bei Zugriffsrechten gilt i.A. Verbieten > Erlauben > NichtKonfiguriert.
Sprich, User1 ist im Vertrieb der Firma1 und Firma2 tätig, ist also in den Sicherheitsgruppen Firma1_Vertrieb und Firma2_Vertrieb. Die Gruppe Firma1_Vertrieb darf auf die Freigabe "\\deine.domäne\Finanzen" zugreifen (explizit in Berechtigungen erlaubt), für Firma2_Vertrieb ist nichts auf der Freigabe konfiguriert. User1 kann in dem Fall auf die Freigabe zugreifen. Wäre jetzt aber für Firma2_Vertrieb der Zugriff in den Berechtigungen explizit verboten so könnte User1 nicht mehr auf die Freigabe zugreifen, egal ob Firma1_Vertrieb es eigentlich darf oder nicht.


Ebenfalls wichtig: Abgrenzung der Firmen innerhalb der Domäne. Musst also genau steuern wer was darf, etwa an bestimmten Rechnern anmelden, etc pp, und nicht den Standard nutzen der da sagt "Nuter ist in Domäne also geht das klar".
Wichtig z.B. für den Datenschutz. Nur weil Firma1 und Firma2 die selbe Muttergesellschaft haben heisst das nicht dass es munter Zugriff auf die Daten der anderen Firma bekommen dürfen.

Noch was zum Vorschlag von @clSchak mit den Domaintrusts und Childdomains: Da brauchst pro (Teil-)Domäne mindestens einen DC. Ist wahtscheinlich nicht im Budget.

:edit: da war Nasta wohl etwas fixer ^^

Grüße,
Philip
alex.b
alex.b 09.10.2012 um 13:51:52 Uhr
Goto Top
Das jeder immer nur in einer OU sein kann ist mir schon klar.. Deswegen ja die Frage.

Sagen wir z.B. der Geschäftsführer einer Holding zu der 7 Firmen gehören ist auch in allen Firmen Geschäftsführer.
Alles ist ansässig unter einem Dach mit einem DC.
nasta-admin
nasta-admin 09.10.2012 um 14:06:25 Uhr
Goto Top
Dann Machst du einfach eine OU ganz oben in deinem Baum wo der Geschäftsführer drin sitz der User ist dann Mitglied von mehreren Gruppen der 7 Firmen:

Bsp:
domain.loc
-OU Holding
----OU Geschäftsleitung
----User Geschäftsführer (Member der Gruppen Niederlassung 1 GL, Niederlassung 2 GL, Zentrale GL)
-OU Niederlassung 1
----Gruppe Niederlassung 1 GL
----OU Buchhaltung
-------User Testhans
-------Computer TestPC
-OU Niederlassung 2
----Gruppe Niederlassung 2 GL
----OU Produktion
-OU Zentrale
----Gruppe Zentrale GL
----OU Buchhaltung
-------User Paul Rechner
-------Computer buchhaltungnb01
-------Gruppe Buchhaltung
----OU Sekretariat
----OU Interne IT


Bau die OUs einfach nach dem Organigramm des Unternehmens auf
alex.b
alex.b 09.10.2012 um 14:20:09 Uhr
Goto Top
Das klingt passend..

Vielen Dank!
psannz
psannz 09.10.2012 aktualisiert um 16:45:08 Uhr
Goto Top
Noch ein kleiner Rat: Arbeite bei Berechtigungen immer mit Gruppen. Wenn du das AD jetzt neu aufbaust kannst das gleich sauber so umsetzen und sparst dir hinterher massig Zeit.

Jetzt wird vielleicht wer sagen "aber wir haben doch nur eine Person in der Zentrale, ist doch ned nötig da jetzt ne Gruppe deswegen zu warten!", aber was ist wenn die Person mal geht? Oder noch ein zweiter User dazu kommt?

Ist einfach wesentlich leichter so den Überblick zu behalten.
Hat dann auch weniger Problempotential wenn ein Mitarbeiter permanent von Firma1 nach Firma2 wechselt. Stichwort Applikation die auf Distinguished Names (DN) von Nutzern zurückgreift ohne diese dynamisch über nen DC aus dem AD zu ziehen.

@nasta: Die Idee mit der OU-Zuordnung nach Kostenstelle funktioniert nur so lange wie intern nicht projektbezogen (idF etwa je Projekt andere Firma) abgerechnet wird.