bpeter
Goto Top

Neue Domain Struktur aufbauen

Hallo,
wir betreuen einen Domain Forest mit ca. 30 Child Domains. Die Child Domains entsprechen Länder auf der ganzen Welt. In verschiedenen Ländern gibt es Administratoren mit mehr oder weniger Wissen. Es gibt auch Benutzer in Länder, die keinen Server haben und in der Domäne DE integriert sind. Von Zeit zu Zeit kommen immer mehr Länder hinzu. Ich will aber nicht mehr für jedes Land eine Domäne erstellen. Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde, würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen. Was bedeuten würde, dass z.B. keine DNS-Einträge durchgeführt werden können. Die müsste ich dann machen. Die komplette NTFS Struktur müsste auch angepasst werden.
Wie habt ihr das gelöst? Habt ihr Ideen für solch eine Struktur?

Im Voraus vielen Dank
Peter

Content-ID: 430096

Url: https://administrator.de/forum/neue-domain-struktur-aufbauen-430096.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

emeriks
emeriks 19.03.2019 aktualisiert um 08:54:14 Uhr
Goto Top
Hi,
Du betreust solch einen Forest und fragst dann sowas?
Die komplette NTFS Struktur müsste auch angepasst werden.
Nein. Warum? Siehe ADMT.
Was bedeuten würde, dass z.B. keine DNS-Einträge durchgeführt werden können.
Auch nicht. Sowas kann man delegieren. Und es betrifft ja auch nur die Zonen, welche zu den AD-Domänen gehören. Für alle andere Zonen kann man gezielt Zugriffsberechtigungen vergeben.
Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde,
Bedenke, dass Du in jedem Fall die Stammdomäne behalten müsstes. Es sein denn, Du willst bei Null anfangen, was nicht zu empfehlen ist.
würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen.
Sehr sinnvoll.

E.
Penny.Cilin
Penny.Cilin 19.03.2019 um 08:44:53 Uhr
Goto Top
Hallo,

nur mal so aus dem Bauch raus:
Kann man das nicht in OUs abbilden? Und dann die Berechtigungen sinngemäß anpassen? Delegierung ist das Stichwort.

Gruss Penny.
certifiedit.net
certifiedit.net 19.03.2019 um 08:55:50 Uhr
Goto Top
Hallo Peter,

das kommt stark darauf an, wie die Gliederung ist, wie die Kollegen schon anmerkten, eigentlich dürfte dir das Design am einfachsten Fallen, solltest du dich hierbei allerdings unsicher fühlen, wäre die Konsultation von einem (weiteren) Profi sicher nicht unangemessen, da das Grunddesign natürlich alles weitere bedingt. Das Grundwerkzeug hast du bereits genannt bekommen: Delegation, hierbei kannst du dann auch Abhängig vom Know How der örtlichen passend zuweisen - oder nicht.

Solltest du Fragen haben oder Hilfe brauchen, klopf gern mal bei mir an.

Viele Grüße,

Christian
erikro
erikro 19.03.2019 um 09:19:13 Uhr
Goto Top
Moin,

Zitat von @BPeter:
wir betreuen einen Domain Forest mit ca. 30 Child Domains.

"Wir" ein Dienstleister oder "Wir" die IT des Mutterkonzerns oder ...?

Die Child Domains entsprechen Länder auf der ganzen Welt.

OK

In verschiedenen Ländern gibt es Administratoren mit mehr oder weniger Wissen.

Viel spannender finde ich immer die verschiedenen Auffassungen, was best practice ist. face-wink

Es gibt auch Benutzer in Länder, die keinen Server haben und in der Domäne DE integriert sind. Von Zeit zu Zeit kommen immer mehr Länder hinzu. Ich will aber nicht mehr für jedes Land eine Domäne erstellen.

Warum nicht? Was spricht dagegen außer die eigene Faulheit? face-wink Oder anders gefragt: Warum ist die Struktur so, wie sie ist? Was sind die Vorteile dieser Struktur für die Aufgaben, die es zu lösen gilt? Was sind die Nachteile? Darüber solltest Du Dir umfassend Gedanken machen angefangen von der Bandbreite, mit der die einzelnen Netze angebunden sind (das kann in anderen Ländern auch mal ein altes 56k-Modem sein) bis hin zu Fragen der Sicherheit, des Datenschutzes etc. Alles, was relevant ist für den Entwurf einer Struktur. Je mehr Hirnschmalz darauf verwendet wird, desto besser wird das Ergebnis. Und nicht vergessen: Welche unternehmenspolitischen Besonderheiten spielen hier eine Rolle (z. B. die Degradierung der Domain-Admins zu Hiwis).

Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde, würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen.

Lateinamerika? Ohje, das gibt Ärger, wenn Du den Machistas ihre Rechte nimmst. face-wink

Wie habt ihr das gelöst? Habt ihr Ideen für solch eine Struktur?

Ideen habe ich viele. Leider widersprechen die sich teilweise. face-wink Es kommt halt darauf an, was die Analyse der Notwendigkeiten ergeben hat, bevor man sich daran macht, eine neue Struktur zu entwerfen. Bei einem so großen Projekt würde ich die Phase der Planung mal gut gelaunt auf ein Jahr ansetzen, bevor ich überhaupt mit der Umsetzung anfange.

hth

Erik
Ganzjahresgriller
Ganzjahresgriller 19.03.2019 aktualisiert um 14:04:16 Uhr
Goto Top
Hallo,

wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.

Servus
SW
BPeter
BPeter 19.03.2019 um 13:59:24 Uhr
Goto Top
Hallo zusammen,
vielen dank für eure Antworten.
Wir (2 Admins, die sonst auch noch etwas zu machen haben) im Mutterkonzern überlegen uns, wie wir die seit über 20 Jahren entstandene Struktur ändern können, ohne dass wir 1 Jahr nichts anderes machen können, die Admins vor Ort degradieren, .... Die jetzige Domain-Struktur beinhaltet Vorteile, aber auch Nachteile, die abzuwägen sind. Wenn die Admins vor Ort in der Gruppe Domain-Admins sind und diese NTFS-Berechtigung hat, muss die NTFS-Berechtigung geändert werden. Die Domains sind bei uns auch DNS-Zonen. Delegation ist keine Unbekannte. Die Stammdomäne würden wir nicht anfassen. Wir würden weitere Child-Domains hinzufügen.

Gruß
Peter
emeriks
emeriks 19.03.2019 um 14:05:13 Uhr
Goto Top
Na dann hast Du doch alles.

Nebenbei:
Wenn die Admins vor Ort in der Gruppe Domain-Admins sind und diese NTFS-Berechtigung hat,
Das ist schon mal wenig gut. Auch ohne geplante Domänen-Änderung. Sowas kann man schon im Vorfeld und unabhängig davon auflösen. z.B. mit SUBINACL oder SETACL.

E.
BPeter
BPeter 19.03.2019 um 15:09:14 Uhr
Goto Top
Zitat von @Ganzjahresgriller:

Hallo,

wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.

Servus
SW

Wir haben vor Ort ESX-Server mit DC's und Fileserver. Mit OU's für die einzelnen Standorte hatte ich mir auch vorgestellt. Nur will ich nicht für alle Admins DNS pflegen. Die Admins anzuweisen, dass Sie die NTFS-Berechtigungen anpassen, wäre, denke ich, auch nicht das Problem. Aber es gibt Standorte ohne Admins, dann wäre die Arbeit bei uns.