8
Neue Domain Struktur aufbauen
Hallo,
wir betreuen einen Domain Forest mit ca. 30 Child Domains. Die Child Domains entsprechen Länder auf der ganzen Welt. In verschiedenen Ländern gibt es Administratoren mit mehr oder weniger Wissen. Es gibt auch Benutzer in Länder, die keinen Server haben und in der Domäne DE integriert sind. Von Zeit zu Zeit kommen immer mehr Länder hinzu. Ich will aber nicht mehr für jedes Land eine Domäne erstellen. Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde, würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen. Was bedeuten würde, dass z.B. keine DNS-Einträge durchgeführt werden können. Die müsste ich dann machen. Die komplette NTFS Struktur müsste auch angepasst werden.
Wie habt ihr das gelöst? Habt ihr Ideen für solch eine Struktur?
Im Voraus vielen Dank
Peter
wir betreuen einen Domain Forest mit ca. 30 Child Domains. Die Child Domains entsprechen Länder auf der ganzen Welt. In verschiedenen Ländern gibt es Administratoren mit mehr oder weniger Wissen. Es gibt auch Benutzer in Länder, die keinen Server haben und in der Domäne DE integriert sind. Von Zeit zu Zeit kommen immer mehr Länder hinzu. Ich will aber nicht mehr für jedes Land eine Domäne erstellen. Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde, würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen. Was bedeuten würde, dass z.B. keine DNS-Einträge durchgeführt werden können. Die müsste ich dann machen. Die komplette NTFS Struktur müsste auch angepasst werden.
Wie habt ihr das gelöst? Habt ihr Ideen für solch eine Struktur?
Im Voraus vielen Dank
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 430096
Url: https://administrator.de/contentid/430096
Printed on: April 25, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hi,
Du betreust solch einen Forest und fragst dann sowas?
E.
Du betreust solch einen Forest und fragst dann sowas?
Die komplette NTFS Struktur müsste auch angepasst werden.
Nein. Warum? Siehe ADMT.Was bedeuten würde, dass z.B. keine DNS-Einträge durchgeführt werden können.
Auch nicht. Sowas kann man delegieren. Und es betrifft ja auch nur die Zonen, welche zu den AD-Domänen gehören. Für alle andere Zonen kann man gezielt Zugriffsberechtigungen vergeben.Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde,
Bedenke, dass Du in jedem Fall die Stammdomäne behalten müsstes. Es sein denn, Du willst bei Null anfangen, was nicht zu empfehlen ist.würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen.
Sehr sinnvoll.E.
Hallo,
nur mal so aus dem Bauch raus:
Kann man das nicht in OUs abbilden? Und dann die Berechtigungen sinngemäß anpassen? Delegierung ist das Stichwort.
Gruss Penny.
nur mal so aus dem Bauch raus:
Kann man das nicht in OUs abbilden? Und dann die Berechtigungen sinngemäß anpassen? Delegierung ist das Stichwort.
Gruss Penny.
Hallo Peter,
das kommt stark darauf an, wie die Gliederung ist, wie die Kollegen schon anmerkten, eigentlich dürfte dir das Design am einfachsten Fallen, solltest du dich hierbei allerdings unsicher fühlen, wäre die Konsultation von einem (weiteren) Profi sicher nicht unangemessen, da das Grunddesign natürlich alles weitere bedingt. Das Grundwerkzeug hast du bereits genannt bekommen: Delegation, hierbei kannst du dann auch Abhängig vom Know How der örtlichen passend zuweisen - oder nicht.
Solltest du Fragen haben oder Hilfe brauchen, klopf gern mal bei mir an.
Viele Grüße,
Christian
das kommt stark darauf an, wie die Gliederung ist, wie die Kollegen schon anmerkten, eigentlich dürfte dir das Design am einfachsten Fallen, solltest du dich hierbei allerdings unsicher fühlen, wäre die Konsultation von einem (weiteren) Profi sicher nicht unangemessen, da das Grunddesign natürlich alles weitere bedingt. Das Grundwerkzeug hast du bereits genannt bekommen: Delegation, hierbei kannst du dann auch Abhängig vom Know How der örtlichen passend zuweisen - oder nicht.
Solltest du Fragen haben oder Hilfe brauchen, klopf gern mal bei mir an.
Viele Grüße,
Christian
Moin,
"Wir" ein Dienstleister oder "Wir" die IT des Mutterkonzerns oder ...?
OK
Viel spannender finde ich immer die verschiedenen Auffassungen, was best practice ist.
Warum nicht? Was spricht dagegen außer die eigene Faulheit? Oder anders gefragt: Warum ist die Struktur so, wie sie ist? Was sind die Vorteile dieser Struktur für die Aufgaben, die es zu lösen gilt? Was sind die Nachteile? Darüber solltest Du Dir umfassend Gedanken machen angefangen von der Bandbreite, mit der die einzelnen Netze angebunden sind (das kann in anderen Ländern auch mal ein altes 56k-Modem sein) bis hin zu Fragen der Sicherheit, des Datenschutzes etc. Alles, was relevant ist für den Entwurf einer Struktur. Je mehr Hirnschmalz darauf verwendet wird, desto besser wird das Ergebnis. Und nicht vergessen: Welche unternehmenspolitischen Besonderheiten spielen hier eine Rolle (z. B. die Degradierung der Domain-Admins zu Hiwis).
Lateinamerika? Ohje, das gibt Ärger, wenn Du den Machistas ihre Rechte nimmst.
Ideen habe ich viele. Leider widersprechen die sich teilweise. Es kommt halt darauf an, was die Analyse der Notwendigkeiten ergeben hat, bevor man sich daran macht, eine neue Struktur zu entwerfen. Bei einem so großen Projekt würde ich die Phase der Planung mal gut gelaunt auf ein Jahr ansetzen, bevor ich überhaupt mit der Umsetzung anfange.
hth
Erik
"Wir" ein Dienstleister oder "Wir" die IT des Mutterkonzerns oder ...?
Die Child Domains entsprechen Länder auf der ganzen Welt.
OK
In verschiedenen Ländern gibt es Administratoren mit mehr oder weniger Wissen.
Viel spannender finde ich immer die verschiedenen Auffassungen, was best practice ist.
Es gibt auch Benutzer in Länder, die keinen Server haben und in der Domäne DE integriert sind. Von Zeit zu Zeit kommen immer mehr Länder hinzu. Ich will aber nicht mehr für jedes Land eine Domäne erstellen.
Warum nicht? Was spricht dagegen außer die eigene Faulheit?
Oder anders gefragt: Warum ist die Struktur so, wie sie ist? Was sind die Vorteile dieser Struktur für die Aufgaben, die es zu lösen gilt? Was sind die Nachteile? Darüber solltest Du Dir umfassend Gedanken machen angefangen von der Bandbreite, mit der die einzelnen Netze angebunden sind (das kann in anderen Ländern auch mal ein altes 56k-Modem sein) bis hin zu Fragen der Sicherheit, des Datenschutzes etc. Alles, was relevant ist für den Entwurf einer Struktur. Je mehr Hirnschmalz darauf verwendet wird, desto besser wird das Ergebnis. Und nicht vergessen: Welche unternehmenspolitischen Besonderheiten spielen hier eine Rolle (z. B. die Degradierung der Domain-Admins zu Hiwis).Wenn ich jetzt die einzelnen Domains in Domain EU, Asia, Afrika (1 Domain) und Amerika aufteilen würde, würde ich den dortigen Administratoren aber auch die Berechtigung Domain Admin weg holen müssen.
Lateinamerika? Ohje, das gibt Ärger, wenn Du den Machistas ihre Rechte nimmst.
Wie habt ihr das gelöst? Habt ihr Ideen für solch eine Struktur?
Ideen habe ich viele. Leider widersprechen die sich teilweise.
Es kommt halt darauf an, was die Analyse der Notwendigkeiten ergeben hat, bevor man sich daran macht, eine neue Struktur zu entwerfen. Bei einem so großen Projekt würde ich die Phase der Planung mal gut gelaunt auf ein Jahr ansetzen, bevor ich überhaupt mit der Umsetzung anfange.hth
Erik
Hallo,
wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.
Servus
SW
wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.
Servus
SW
Hallo zusammen,
vielen dank für eure Antworten.
Wir (2 Admins, die sonst auch noch etwas zu machen haben) im Mutterkonzern überlegen uns, wie wir die seit über 20 Jahren entstandene Struktur ändern können, ohne dass wir 1 Jahr nichts anderes machen können, die Admins vor Ort degradieren, .... Die jetzige Domain-Struktur beinhaltet Vorteile, aber auch Nachteile, die abzuwägen sind. Wenn die Admins vor Ort in der Gruppe Domain-Admins sind und diese NTFS-Berechtigung hat, muss die NTFS-Berechtigung geändert werden. Die Domains sind bei uns auch DNS-Zonen. Delegation ist keine Unbekannte. Die Stammdomäne würden wir nicht anfassen. Wir würden weitere Child-Domains hinzufügen.
Gruß
Peter
vielen dank für eure Antworten.
Wir (2 Admins, die sonst auch noch etwas zu machen haben) im Mutterkonzern überlegen uns, wie wir die seit über 20 Jahren entstandene Struktur ändern können, ohne dass wir 1 Jahr nichts anderes machen können, die Admins vor Ort degradieren, .... Die jetzige Domain-Struktur beinhaltet Vorteile, aber auch Nachteile, die abzuwägen sind. Wenn die Admins vor Ort in der Gruppe Domain-Admins sind und diese NTFS-Berechtigung hat, muss die NTFS-Berechtigung geändert werden. Die Domains sind bei uns auch DNS-Zonen. Delegation ist keine Unbekannte. Die Stammdomäne würden wir nicht anfassen. Wir würden weitere Child-Domains hinzufügen.
Gruß
Peter
Na dann hast Du doch alles.
Nebenbei:
E.
Nebenbei:
Wenn die Admins vor Ort in der Gruppe Domain-Admins sind und diese NTFS-Berechtigung hat,
Das ist schon mal wenig gut. Auch ohne geplante Domänen-Änderung. Sowas kann man schon im Vorfeld und unabhängig davon auflösen. z.B. mit SUBINACL oder SETACL.E.
Zitat von @Ganzjahresgriller:
Hallo,
wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.
Servus
SW
Hallo,
wir betreuen von unserem Standort aus ganz Europa, wobei Europa recht weit geht, von Norwegen bis Russland, Marokko, Frankreich. Bei uns ist es so das die Lokationen in den einzelnen Ländern nur Sales Büros sind in denen gibt es nur Terminals. Die eigentliche Intelligenz steht hier in der Zentrale und die Terminals melden sich an einer Citrix-Farm an. Im AD ist das mit einer komplexen OU Struktur abgebildet. Die SMTP Adressen lauten z. B. Vorname.nachname@de.domain.tld (Deutschland) oder Vorname.Nachname@es.domain.tld (Spanien) usw. Domänen Admins gibt es nur bei uns in der Zentrale. Hier wird auch der DNS gepflegt. Die Büros sind nach Möglichkeit mit MPLS Leitungen angebunden.
Servus
SW
Wir haben vor Ort ESX-Server mit DC's und Fileserver. Mit OU's für die einzelnen Standorte hatte ich mir auch vorgestellt. Nur will ich nicht für alle Admins DNS pflegen. Die Admins anzuweisen, dass Sie die NTFS-Berechtigungen anpassen, wäre, denke ich, auch nicht das Problem. Aber es gibt Standorte ohne Admins, dann wäre die Arbeit bei uns.
