kmulife
Goto Top

Neuer DC + Ordnerstruktur

Hallo zusammen!

In meinem KMU-Netzwerk haben wir eine zu überarbeitende Ordnerstruktur, da diese wie bei so vielen KMU's mit der Zeit immer mehr gewachsen ist. Da nun Zusätzlich noch eine Aussenstelle DE dazu gekommen ist wird das ganze mit den Rechten noch etwas komplizierter da vieles geteilt werden muss und trotzdem nicht alles. Ein überbleibsel ist auch noch die Usernamen welche alle nur "Vornamen" sind. Das heisst sobald ich zwei "Hans" in der Firma habe, muss ich mir was überlegen. Zum Glück ist die Firma noch eher klein und dies ist noch nicht passiert.

Da ich dieser "Problematik" jedoch aus dem Weg gehen will und unsere AD so oder so grundrenoviert werden muss wird diese komplett neu aus dem Boden gestampft.

Nun habe ich mehrere Fragen zu der Vorgehensweise, bzw. mich würde wundernehmen wie Ihr in einem solchen Fall vorgehen würdet.

Ich habe grundsätzlich zwei Ansätze:
1. Der neue DC in einem kompletten abgetrennten Netz aufsetzen mit gleichem DC-Name, neue User erfassen (keine Servergespeicherten Profile) und dann an einem Wochenende auf altem Server DC-Rolle deinstallieren und alle Geräte joinen auf neuem DC + Neue Ordnerstruktur schon auf DC aufsetzen und User rechte schon vorgängig vergeben. --> Frage hierbei ist, wenn ich Dokumente aus der alten Ordnerstruktur kopiere, werden die alten Rechte Grundsätzlich auch übernommen, hätte also viele Leichen. Gibts da ne "Cleanup" möglichkeit , bzw. wie kann ich sicherstellen das ich auf die Dokumente noch rechte habe aber die alten rechte nicht unbedingt mitnehme?

2. Neuer DC im gleichen Netz joinen (Untergeordneter DC) und dann als Vollwertiger einsetzen - Problematik 1. ich nehme alle User mit, somit alle Altlasten. 2. ist der momentane DC ein SBS 2008 er welcher so viel ich weiß kein Untergeordneter DC zulässt.

Wahrscheinlich habt Ihr beim lesen dieses Textes euch einmal Gedanklich im Grab umgedreht ab dieser Unerfahrenheit die durchdringt für so ein Projekt. Aber ich hab noch etwas Zeit zum mein Wissen aufarbeiten und das ganze auch mal zu "testen" und werde falls nötig auch noch "Experten-Wissen" einkaufen. Da das Budget für IT jedoch begrenzt ist wie halt in jedem KMU werde ich vieles selber machen müssen - was mich grundsätzlich aber auch freut face-smile.

Habt ihr mir allenfalls einen dritten Ansatz den ich momentan nicht sehe/kenne oder seht ihr grundsätzliche Probleme in meinen Gedankengängen? Bin froh um alle eure Erfahrungen!

Btw. neuer DC wird Windows Server 2012 R2 (oder 2016) sein - tendiere aber zu 2012 R2 da dieser einfach verdammt flüssig läuft und 2016 noch in den Kinderschuhen steckt...

Grüsse KMUlife


Kurzer Nachtrag
Dimensionierung das Ihr euch das ganze etwas Vorstellen könnt:
  • CH - ca. 20 Geräte + Server + NAS
  • DE - 5 Geräte + NAS

Content-ID: 320932

Url: https://administrator.de/contentid/320932

Ausgedruckt am: 24.11.2024 um 06:11 Uhr

emeriks
emeriks 14.11.2016 um 10:37:42 Uhr
Goto Top
Hi,
Du hast also festgestellt, dass einige Möbel in Deinem Büro ungünstig stehen. Und einige haben die falsche Farbe. Und damit die Lösung möglichst "einfach" wird, baust Du jetzt ein neues Gebäude auf einem anderen Gelände und ziehst "einfach" mit der Firma um. So etwa?

Wenn Hans 2 kommt, dann nenn ihn einfach "Hans2". Oder - falls er Hans Müller heißt - einfach "Mueller" oder "MuellerH". Oder "User17". Namen sind nur Schall und Rauch. Wichtig ist nur, dass man weiß, welches Benutzerkonto wozu gehört.

Dateistrukturen aufzuräumen hat nur mittelbar etwas mit Domänen zu tun. Schau Dir erstmal das A-G-DL-P-Prinzip an. Das hilft Dir vielleicht, eine technisch sinnvolle Lösung dafür zu schaffen, welche auch organisatorisch für Euch sinnvoll ist.

E.
KMUlife
KMUlife 14.11.2016 um 10:44:14 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Du hast also festgestellt, dass einige Möbel in Deinem Büro ungünstig stehen. Und einige haben die falsche Farbe. Und damit die Lösung möglichst "einfach" wird, baust Du jetzt ein neues Gebäude auf einem anderen Gelände und ziehst "einfach" mit der Firma um. So etwa?

Wenn Hans 2 kommt, dann nenn ihn einfach "Hans2". Oder - falls er Hans Müller heißt - einfach "Mueller" oder "MuellerH". Oder "User17". Namen sind <nur Schall und Rauch. Wichtig ist nur, dass man weiß, welches Benutzerkonto wozu gehört.

Hi emerkis, merci für deinen Beitrag - das mit den Namen ist mir bewusst. Ich muss jedoch dazu sagen, dass das heutige Möbel bald 7 Jahre alt ist (SBS 2008) und von einem Applikationsentwickler aufgesetzt wurde. Darum am besten ein neues Gebäude und nicht nur neu streichen... Do you see my Problem? face-smile

Dateistrukturen aufzuräumen hat nur mittelbar etwas mit Domänen zu tun. Schau Dir erstmal das A-G-DL-P-Prinzip an. Das hilft Dir vielleicht, eine technisch sinnvolle Lösung dafür zu schaffen, welche auch organisatorisch für Euch sinnvoll ist.


Schaue ich mir an, danke für den Link!

Grüsse
KMUlife
emeriks
emeriks 14.11.2016 um 10:52:18 Uhr
Goto Top
Do you see my Problem?
Nein. face-smile
Du willst SBS durch SBS ersetzen? Oder durch "echte" DC & Fileserver?
KMUlife
KMUlife 14.11.2016 um 11:23:53 Uhr
Goto Top
Zitat von @emeriks:

Do you see my Problem?
Nein. face-smile
Du willst SBS durch SBS ersetzen? Oder durch "echte" DC & Fileserver?

Nein wird kein SBS mehr sein, unsere HW ist alt und zu krass ausgelastet. (nach dem Prinzip: "es hat noch Platz installieren wir nochmal was") Der momentane SBS wird auf mehrere Systeme aufgeteilt werden (virtualisiert) so das wir Sicherheitstechnisch etwas "weiter fortgeschritten" sind und die Fehlerquote hoffentlich auch etwas minimiert wird. - Es gibt auch User die momentan auf dem Server irgendwelche arbeiten erledigen (einfach weil es die einzige Maschine ist, die ständig erreichbar ist) was ich definitiv nicht mehr will. Wird wahrscheinlich ein virtuelles Win10 den Platz einnehmen für solche Spässe...

Siehe auch:

Btw. neuer DC wird Windows Server 2012 R2 (oder 2016) sein - tendiere aber zu 2012 R2 da dieser einfach verdammt flüssig läuft und 2016 noch in den Kinderschuhen steckt...

Grüsse
KMUlife
emeriks
emeriks 14.11.2016 um 11:29:26 Uhr
Goto Top
Na dann einfach einen Win2012R2 zum weiteren DC der existierenden Domäne promoten. Damit bleiben Deine Domäne und die vorhandenen NTFS-Berechtigungen 1:1 erhalten.
Danach kannst Du Dich an die Neuorganisation der Ordner- und NTFS-Berechtigungsstruktur ranmachen.
Exchange auch im Einsatz?
KMUlife
KMUlife 14.11.2016 um 12:03:11 Uhr
Goto Top
Hi emeriks


Zitat von @emeriks:

Na dann einfach einen Win2012R2 zum weiteren DC der existierenden Domäne promoten. Damit bleiben Deine Domäne und die vorhandenen NTFS-Berechtigungen 1:1 erhalten.
Danach kannst Du Dich an die Neuorganisation der Ordner- und NTFS-Berechtigungsstruktur ranmachen.

Also du würdest Schritt zwei Vorschlagen & Altlasten übernehmen wie ich sehe. Und dann in einem zweiten Schritt aufräumen... sicher die "gemütlichere" Vorgehensweise...
So viel ich weiss kann ich aber den Win2012R2 nicht als HauptDC konfigurieren solange er mit dem SBS abgleichen muss da der SBS kein gleichgestellter DC zulässt. Laut Internet-Artikeln (z.B. dieser) scheint dies aber zu funktionieren. Ist dies nur eine "Lizenzfrage" also einfach nicht erlaubt aber technisch in diesem Falle möglich und für eine Migration durchaus der normale Ablauf?

Exchange auch im Einsatz?

Ne, läuft fix bei MS face-smile.

Grüsse & Mahlzeit
KMUlife
emeriks
emeriks 14.11.2016 um 12:49:54 Uhr
Goto Top
So viel ich weiss kann ich aber den Win2012R2 nicht als HauptDC konfigurieren solange er mit dem SBS abgleichen muss da der SBS kein gleichgestellter DC zulässt.
Ja. Wenn Du den SBS abrüstest, dann demotest Du ihn als letztes. Dabei werden alle FSMO an den neuen DC übergeben.

Altlasten übernehmen
Was denn für "Altlasten"? Asbest? Heizöl im Boden?
Alles neu machen um des Neumachen Willen?
Bitte nicht falsch verstehen: Aber allein, dass Du diese Fragen hier stellst, suggeriert mir, dass Du froh sein wirst, wenn hinterher noch alles läuft. Was ist in/an der alten Domäne so derart falsch und unkorrigierbar, dass Du glaubst, es durch Neumachen besser machen zu können?
KMUlife
KMUlife 14.11.2016 um 15:39:28 Uhr
Goto Top
Zitat von @emeriks:

So viel ich weiss kann ich aber den Win2012R2 nicht als HauptDC konfigurieren solange er mit dem SBS abgleichen muss da der SBS kein gleichgestellter DC zulässt.
Ja. Wenn Du den SBS abrüstest, dann demotest Du ihn als letztes. Dabei werden alle FSMO an den neuen DC übergeben.


Okay, dann hab ich das richtig verstanden... Danke!

Altlasten übernehmen
Was denn für "Altlasten"? Asbest? Heizöl im Boden?
Alles neu machen um des Neumachen Willen?
Bitte nicht falsch verstehen: Aber allein, dass Du diese Fragen hier stellst, suggeriert mir, dass Du froh sein wirst, wenn hinterher noch alles läuft. Was ist in/an der alten Domäne so derart falsch und unkorrigierbar, dass Du glaubst, es durch Neumachen besser machen zu können?

Ist schon gut bist du so kritisch face-smile. Schließlich sollte man als Informatiker alles Begründen können nicht wahr?

Nun für mich persönlich aus folgenden Gründen:
1. Viele Gruppen & User sind im AD vorhanden welche weder gebraucht werden noch nützlich sind
2. Es hat viele SID's welche unbekannt sind
3. Ich könnte die User alle in einen Neuen Topf werfen mit Anmeldename und auch neuen Ordnerstrukturen & Berechtigungen --> Sie müssen sich nur einmal umgewöhnen und nicht immer wieder ein bisschen
4. Ich hatte schon zwei drei mal das Problem das ein Computer "unauthenticated" war aus momentan noch unerklärlichen Gründen
5. Die DNS-Reverslookupzone funktioniert nicht - (nebensächlich allenfalls hats aber einen zusammenhang)
6. Die nicht nützlichen User könnte ich einfach löschen, jedoch kann es sein, dass der User im Hintergrund für ein Prozess gebraucht wird welcher vor 5 Jahren erstellt wurde und niemand hat dies aufgeschrieben
7. Wenn ich es neu aus dem Boden stampfe weiss ich genau was wo läuft und wie das ganze zusammenhängt + kann es dokumentieren.

Aaaaaber ich muss dir also auch Recht geben, dass es eine Mordsaufgabe ist und schlussendlich ist es keine Schulbuch Aufgabe sondern die Leute sollen arbeiten können.... und das stelle ich am ehesten sicher wenn ich Stück um Stück ablöse. Vor allem fehlen mir auch die Ressourcen dies in sagen wir "einem Wochenende" durchziehen zu können.

We will see... - Aber danke für deine Kritische Wahrnehmung face-smile!
Vision2015
Lösung Vision2015 14.11.2016 um 17:04:49 Uhr
Goto Top
Zitat von @KMUlife:

Zitat von @emeriks:



Ist schon gut bist du so kritisch face-smile. Schließlich sollte man als Informatiker alles Begründen können nicht wahr?

Nun für mich persönlich aus folgenden Gründen:
1. Viele Gruppen & User sind im AD vorhanden welche weder gebraucht werden noch nützlich sind
die kannst du löschen...
2. Es hat viele SID's welche unbekannt sind
ich denke nicht das du alle kennst face-smile
3. Ich könnte die User alle in einen Neuen Topf werfen mit Anmeldename und auch neuen Ordnerstrukturen & Berechtigungen
kannst du so auch...
--> Sie müssen sich nur einmal umgewöhnen und nicht immer wieder ein bisschen
4. Ich hatte schon zwei drei mal das Problem das ein Computer "unauthenticated" war aus momentan noch unerklärlichen Gründen
das kann nach einer Neuinstallation auch passieren!
5. Die DNS-Reverslookupzone funktioniert nicht - (nebensächlich allenfalls hats aber einen zusammenhang)
das kannst du leicht Fixen...
6. Die nicht nützlichen User könnte ich einfach löschen, jedoch kann es sein, dass der User im Hintergrund für ein Prozess gebraucht wird welcher vor 5 Jahren erstellt wurde und niemand hat dies aufgeschrieben
könnte sein... allerdings frage ich mich gerade wie du rausfinden möchtest, was für software du installieren mußt-
wenn du nicht mal die jetzigen User zuordnen kannst..
7. Wenn ich es neu aus dem Boden stampfe weiss ich genau was wo läuft und wie das ganze zusammenhängt + kann es dokumentieren.
na, das kannst du so auch.

Aaaaaber ich muss dir also auch Recht geben, dass es eine Mordsaufgabe ist und schlussendlich ist es keine Schulbuch Aufgabe sondern die Leute sollen arbeiten können.... und das stelle ich am ehesten sicher wenn ich Stück um Stück ablöse. Vor allem fehlen mir auch die Ressourcen dies in sagen wir "einem Wochenende" durchziehen zu können.
für mich klingt das nach einer verzweiflungstat...


We will see... - Aber danke für deine Kritische Wahrnehmung face-smile!
Frank
KMUlife
KMUlife 14.11.2016 um 17:15:29 Uhr
Goto Top
Hi Frank

Zitat von @Vision2015:

für mich klingt das nach einer verzweiflungstat...
Frank

Ich bin weder Verzweifelt noch sonst irgendwie aufgelöst.

Ich übernehme nur eine schlecht eingerichtete Infrastruktur und habe die Möglichkeit was neues zu bauen oder zu übernehmen.... habe am Anfang geschrieben dass ich zwei Wege sehe und eher zu 1. tendiere da ich dann alles neu aufbauen kann. Grüne Wiese ist immer am schönsten meiner Meinung nach, sehe aber auch viele Stolpersteine. Jedoch bin ich mir auch bewusst das es Weg 2. gibt und wollte mal bei euch nachfragen wie ihr das machen würdet.

Ihr seid in diesem Falle für Weg zwei, anscheinend weil ihr mehr Berge seht als ich. Vielleicht bin ich noch jung und grün hinter den Ohren, aber deswegen Frage ich ja nach Erfahrungen face-wink.

Nice Evening!
KMUlife
Vision2015
Vision2015 14.11.2016 um 17:22:22 Uhr
Goto Top
Zitat von @KMUlife:

Hi Frank

Zitat von @Vision2015:

für mich klingt das nach einer verzweiflungstat...
Frank

Ich bin weder Verzweifelt noch sonst irgendwie aufgelöst.
und das ist auch gut so... face-smile

Ich übernehme nur eine schlecht eingerichtete Infrastruktur und habe die Möglichkeit was neues zu bauen oder zu übernehmen.... habe am Anfang geschrieben dass ich zwei Wege sehe und eher zu 1. tendiere da ich dann alles neu aufbauen kann. Grüne Wiese ist immer am schönsten meiner Meinung nach, sehe aber auch viele Stolpersteine. Jedoch bin ich mir auch bewusst das es Weg 2. gibt und wollte mal bei euch nachfragen wie ihr das machen würdet.

Ihr seid in diesem Falle für Weg zwei, anscheinend weil ihr mehr Berge seht als ich. Vielleicht bin ich noch jung und grün hinter den Ohren, aber deswegen Frage ich ja nach Erfahrungen face-wink.
nun, ich kenne jetzt nicht dein Fachwissen- besser wird es sein, es mit einem IT-Partner zu Planen..

Nice Evening!
KMUlife
Frank
emeriks
Lösung emeriks 15.11.2016 um 08:20:03 Uhr
Goto Top
1. Viele Gruppen & User sind im AD vorhanden welche weder gebraucht werden noch nützlich sind
Benutzer kannst Du erstmal deaktivieren.
Bei den Gruppen würde icn mich erstmal vergewissern, ob sie nicht irgendwo bei den Berechtigungen eingetragen sind.
Leere Gruppen könntest Du löschen.
2. Es hat viele SID's welche unbekannt sind
"Es"?
Du meinst, wenn Du in die Zugriffsberechtigungen von Dateien und Ordner schaust?
3. Ich könnte die User alle in einen Neuen Topf werfen mit Anmeldename und auch neuen Ordnerstrukturen & Berechtigungen --> Sie müssen sich nur einmal umgewöhnen und nicht immer wieder ein bisschen
Ja, kannst Du. Alles in der vorhandenen Domäne.
4. Ich hatte schon zwei drei mal das Problem das ein Computer "unauthenticated" war aus momentan noch unerklärlichen Gründen
Doppelter Name?
Uhrzeit nicht synchron?
Backup wiederhergestellt?
5. Die DNS-Reverslookupzone funktioniert nicht - (nebensächlich allenfalls hats aber einen zusammenhang)
Was heißt "funktioniert nicht"?
6. Die nicht nützlichen User könnte ich einfach löschen, jedoch kann es sein, dass der User im Hintergrund für ein Prozess gebraucht wird welcher vor 5 Jahren erstellt wurde und niemand hat dies aufgeschrieben
Wenn es sein könnte, "dass der User im Hintergrund für ein Prozess gebraucht wird", wie kannst Du dann den Satz beginnen mit "Die nicht nützlichen User"? Du weißt es doch offensichtlich nicht. Genau sowas musst Du als Erstes feststellen. Entweder remote abfragen oder als Turnschuhadmin die Kisten abklappern. Aber mach es dann besser! Dokumentiere es professionell.
7. Wenn ich es neu aus dem Boden stampfe weiss ich genau was wo läuft und wie das ganze zusammenhängt + kann es dokumentieren.
Nein das weißt Du nicht. Weil Du ja jetzt offensichtlich gar nicht weißt, was alles Du wie bereitstellen musst. Bei der Sammlung dieser Daten wirst Du zwangsläufig die vorhandene Umgebung aufnehmen müssen. Oder willst Du etwa ohne Plan, was benötigt wird, anfangen? ("besser machen" face-wink )
Aaaaaber ich muss dir also auch Recht geben, dass es eine Mordsaufgabe ist und schlussendlich ist es keine Schulbuch Aufgabe sondern die Leute sollen arbeiten können.... und das stelle ich am ehesten sicher wenn ich Stück um Stück ablöse. Vor allem fehlen mir auch die Ressourcen dies in sagen wir "einem Wochenende" durchziehen zu können.
Richtig! Dein Gott ist hier nicht der Computer sondern der Anwender. Und bedenke: Auch die GF gehört zu den Anwendern. face-wink
KMUlife
KMUlife 16.06.2017 um 10:23:53 Uhr
Goto Top
Hallo Frank & Emeriks

Ich wollte mal noch Danke sagen und die Frage 'als gelöst markieren'!
Sind momentan mit einem Partner im Gespräch für den Hardware kauf.

Ich werde die Domain übernehmen und evt. werden wir den alten Server eine gewisse Zeitlang noch virtualisiert laufenlassen bis möglichst alles abgezügelt ist. (Sofern dies funktioniert, angedacht ist, das ganze mit Acronis (auf ESXi) zu übernehmen. Habe dies aber noch nie gemacht, mal schauen. face-smile )

Auf jedenfall danke für euer kritisches Hinterfragen meines Vorhabens und die guten Tipps!

LG
KMUlife