Neuer DC + Ordnerstruktur
Hallo zusammen!
In meinem KMU-Netzwerk haben wir eine zu überarbeitende Ordnerstruktur, da diese wie bei so vielen KMU's mit der Zeit immer mehr gewachsen ist. Da nun Zusätzlich noch eine Aussenstelle DE dazu gekommen ist wird das ganze mit den Rechten noch etwas komplizierter da vieles geteilt werden muss und trotzdem nicht alles. Ein überbleibsel ist auch noch die Usernamen welche alle nur "Vornamen" sind. Das heisst sobald ich zwei "Hans" in der Firma habe, muss ich mir was überlegen. Zum Glück ist die Firma noch eher klein und dies ist noch nicht passiert.
Da ich dieser "Problematik" jedoch aus dem Weg gehen will und unsere AD so oder so grundrenoviert werden muss wird diese komplett neu aus dem Boden gestampft.
Nun habe ich mehrere Fragen zu der Vorgehensweise, bzw. mich würde wundernehmen wie Ihr in einem solchen Fall vorgehen würdet.
Ich habe grundsätzlich zwei Ansätze:
1. Der neue DC in einem kompletten abgetrennten Netz aufsetzen mit gleichem DC-Name, neue User erfassen (keine Servergespeicherten Profile) und dann an einem Wochenende auf altem Server DC-Rolle deinstallieren und alle Geräte joinen auf neuem DC + Neue Ordnerstruktur schon auf DC aufsetzen und User rechte schon vorgängig vergeben. --> Frage hierbei ist, wenn ich Dokumente aus der alten Ordnerstruktur kopiere, werden die alten Rechte Grundsätzlich auch übernommen, hätte also viele Leichen. Gibts da ne "Cleanup" möglichkeit , bzw. wie kann ich sicherstellen das ich auf die Dokumente noch rechte habe aber die alten rechte nicht unbedingt mitnehme?
2. Neuer DC im gleichen Netz joinen (Untergeordneter DC) und dann als Vollwertiger einsetzen - Problematik 1. ich nehme alle User mit, somit alle Altlasten. 2. ist der momentane DC ein SBS 2008 er welcher so viel ich weiß kein Untergeordneter DC zulässt.
Wahrscheinlich habt Ihr beim lesen dieses Textes euch einmal Gedanklich im Grab umgedreht ab dieser Unerfahrenheit die durchdringt für so ein Projekt. Aber ich hab noch etwas Zeit zum mein Wissen aufarbeiten und das ganze auch mal zu "testen" und werde falls nötig auch noch "Experten-Wissen" einkaufen. Da das Budget für IT jedoch begrenzt ist wie halt in jedem KMU werde ich vieles selber machen müssen - was mich grundsätzlich aber auch freut .
Habt ihr mir allenfalls einen dritten Ansatz den ich momentan nicht sehe/kenne oder seht ihr grundsätzliche Probleme in meinen Gedankengängen? Bin froh um alle eure Erfahrungen!
Btw. neuer DC wird Windows Server 2012 R2 (oder 2016) sein - tendiere aber zu 2012 R2 da dieser einfach verdammt flüssig läuft und 2016 noch in den Kinderschuhen steckt...
Grüsse KMUlife
Kurzer Nachtrag
Dimensionierung das Ihr euch das ganze etwas Vorstellen könnt:
In meinem KMU-Netzwerk haben wir eine zu überarbeitende Ordnerstruktur, da diese wie bei so vielen KMU's mit der Zeit immer mehr gewachsen ist. Da nun Zusätzlich noch eine Aussenstelle DE dazu gekommen ist wird das ganze mit den Rechten noch etwas komplizierter da vieles geteilt werden muss und trotzdem nicht alles. Ein überbleibsel ist auch noch die Usernamen welche alle nur "Vornamen" sind. Das heisst sobald ich zwei "Hans" in der Firma habe, muss ich mir was überlegen. Zum Glück ist die Firma noch eher klein und dies ist noch nicht passiert.
Da ich dieser "Problematik" jedoch aus dem Weg gehen will und unsere AD so oder so grundrenoviert werden muss wird diese komplett neu aus dem Boden gestampft.
Nun habe ich mehrere Fragen zu der Vorgehensweise, bzw. mich würde wundernehmen wie Ihr in einem solchen Fall vorgehen würdet.
Ich habe grundsätzlich zwei Ansätze:
1. Der neue DC in einem kompletten abgetrennten Netz aufsetzen mit gleichem DC-Name, neue User erfassen (keine Servergespeicherten Profile) und dann an einem Wochenende auf altem Server DC-Rolle deinstallieren und alle Geräte joinen auf neuem DC + Neue Ordnerstruktur schon auf DC aufsetzen und User rechte schon vorgängig vergeben. --> Frage hierbei ist, wenn ich Dokumente aus der alten Ordnerstruktur kopiere, werden die alten Rechte Grundsätzlich auch übernommen, hätte also viele Leichen. Gibts da ne "Cleanup" möglichkeit , bzw. wie kann ich sicherstellen das ich auf die Dokumente noch rechte habe aber die alten rechte nicht unbedingt mitnehme?
2. Neuer DC im gleichen Netz joinen (Untergeordneter DC) und dann als Vollwertiger einsetzen - Problematik 1. ich nehme alle User mit, somit alle Altlasten. 2. ist der momentane DC ein SBS 2008 er welcher so viel ich weiß kein Untergeordneter DC zulässt.
Wahrscheinlich habt Ihr beim lesen dieses Textes euch einmal Gedanklich im Grab umgedreht ab dieser Unerfahrenheit die durchdringt für so ein Projekt. Aber ich hab noch etwas Zeit zum mein Wissen aufarbeiten und das ganze auch mal zu "testen" und werde falls nötig auch noch "Experten-Wissen" einkaufen. Da das Budget für IT jedoch begrenzt ist wie halt in jedem KMU werde ich vieles selber machen müssen - was mich grundsätzlich aber auch freut .
Habt ihr mir allenfalls einen dritten Ansatz den ich momentan nicht sehe/kenne oder seht ihr grundsätzliche Probleme in meinen Gedankengängen? Bin froh um alle eure Erfahrungen!
Btw. neuer DC wird Windows Server 2012 R2 (oder 2016) sein - tendiere aber zu 2012 R2 da dieser einfach verdammt flüssig läuft und 2016 noch in den Kinderschuhen steckt...
Grüsse KMUlife
Kurzer Nachtrag
Dimensionierung das Ihr euch das ganze etwas Vorstellen könnt:
- CH - ca. 20 Geräte + Server + NAS
- DE - 5 Geräte + NAS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320932
Url: https://administrator.de/contentid/320932
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
13 Kommentare
Neuester Kommentar
Hi,
Du hast also festgestellt, dass einige Möbel in Deinem Büro ungünstig stehen. Und einige haben die falsche Farbe. Und damit die Lösung möglichst "einfach" wird, baust Du jetzt ein neues Gebäude auf einem anderen Gelände und ziehst "einfach" mit der Firma um. So etwa?
Wenn Hans 2 kommt, dann nenn ihn einfach "Hans2". Oder - falls er Hans Müller heißt - einfach "Mueller" oder "MuellerH". Oder "User17". Namen sind nur Schall und Rauch. Wichtig ist nur, dass man weiß, welches Benutzerkonto wozu gehört.
Dateistrukturen aufzuräumen hat nur mittelbar etwas mit Domänen zu tun. Schau Dir erstmal das A-G-DL-P-Prinzip an. Das hilft Dir vielleicht, eine technisch sinnvolle Lösung dafür zu schaffen, welche auch organisatorisch für Euch sinnvoll ist.
E.
Du hast also festgestellt, dass einige Möbel in Deinem Büro ungünstig stehen. Und einige haben die falsche Farbe. Und damit die Lösung möglichst "einfach" wird, baust Du jetzt ein neues Gebäude auf einem anderen Gelände und ziehst "einfach" mit der Firma um. So etwa?
Wenn Hans 2 kommt, dann nenn ihn einfach "Hans2". Oder - falls er Hans Müller heißt - einfach "Mueller" oder "MuellerH". Oder "User17". Namen sind nur Schall und Rauch. Wichtig ist nur, dass man weiß, welches Benutzerkonto wozu gehört.
Dateistrukturen aufzuräumen hat nur mittelbar etwas mit Domänen zu tun. Schau Dir erstmal das A-G-DL-P-Prinzip an. Das hilft Dir vielleicht, eine technisch sinnvolle Lösung dafür zu schaffen, welche auch organisatorisch für Euch sinnvoll ist.
E.
So viel ich weiss kann ich aber den Win2012R2 nicht als HauptDC konfigurieren solange er mit dem SBS abgleichen muss da der SBS kein gleichgestellter DC zulässt.
Ja. Wenn Du den SBS abrüstest, dann demotest Du ihn als letztes. Dabei werden alle FSMO an den neuen DC übergeben.Altlasten übernehmen
Was denn für "Altlasten"? Asbest? Heizöl im Boden?Alles neu machen um des Neumachen Willen?
Bitte nicht falsch verstehen: Aber allein, dass Du diese Fragen hier stellst, suggeriert mir, dass Du froh sein wirst, wenn hinterher noch alles läuft. Was ist in/an der alten Domäne so derart falsch und unkorrigierbar, dass Du glaubst, es durch Neumachen besser machen zu können?
Ist schon gut bist du so kritisch . Schließlich sollte man als Informatiker alles Begründen können nicht wahr?
Nun für mich persönlich aus folgenden Gründen:
1. Viele Gruppen & User sind im AD vorhanden welche weder gebraucht werden noch nützlich sind
2. Es hat viele SID's welche unbekannt sind
ich denke nicht das du alle kennst 3. Ich könnte die User alle in einen Neuen Topf werfen mit Anmeldename und auch neuen Ordnerstrukturen & Berechtigungen
kannst du so auch...--> Sie müssen sich nur einmal umgewöhnen und nicht immer wieder ein bisschen
4. Ich hatte schon zwei drei mal das Problem das ein Computer "unauthenticated" war aus momentan noch unerklärlichen Gründen
das kann nach einer Neuinstallation auch passieren!5. Die DNS-Reverslookupzone funktioniert nicht - (nebensächlich allenfalls hats aber einen zusammenhang)
das kannst du leicht Fixen...6. Die nicht nützlichen User könnte ich einfach löschen, jedoch kann es sein, dass der User im Hintergrund für ein Prozess gebraucht wird welcher vor 5 Jahren erstellt wurde und niemand hat dies aufgeschrieben
könnte sein... allerdings frage ich mich gerade wie du rausfinden möchtest, was für software du installieren mußt-wenn du nicht mal die jetzigen User zuordnen kannst..
7. Wenn ich es neu aus dem Boden stampfe weiss ich genau was wo läuft und wie das ganze zusammenhängt + kann es dokumentieren.
na, das kannst du so auch.Aaaaaber ich muss dir also auch Recht geben, dass es eine Mordsaufgabe ist und schlussendlich ist es keine Schulbuch Aufgabe sondern die Leute sollen arbeiten können.... und das stelle ich am ehesten sicher wenn ich Stück um Stück ablöse. Vor allem fehlen mir auch die Ressourcen dies in sagen wir "einem Wochenende" durchziehen zu können.
We will see... - Aber danke für deine Kritische Wahrnehmung !
und das ist auch gut so...
Ich übernehme nur eine schlecht eingerichtete Infrastruktur und habe die Möglichkeit was neues zu bauen oder zu übernehmen.... habe am Anfang geschrieben dass ich zwei Wege sehe und eher zu 1. tendiere da ich dann alles neu aufbauen kann. Grüne Wiese ist immer am schönsten meiner Meinung nach, sehe aber auch viele Stolpersteine. Jedoch bin ich mir auch bewusst das es Weg 2. gibt und wollte mal bei euch nachfragen wie ihr das machen würdet.
Ihr seid in diesem Falle für Weg zwei, anscheinend weil ihr mehr Berge seht als ich. Vielleicht bin ich noch jung und grün hinter den Ohren, aber deswegen Frage ich ja nach Erfahrungen .
nun, ich kenne jetzt nicht dein Fachwissen- besser wird es sein, es mit einem IT-Partner zu Planen..
Nice Evening!
KMUlife
Frank
Ich übernehme nur eine schlecht eingerichtete Infrastruktur und habe die Möglichkeit was neues zu bauen oder zu übernehmen.... habe am Anfang geschrieben dass ich zwei Wege sehe und eher zu 1. tendiere da ich dann alles neu aufbauen kann. Grüne Wiese ist immer am schönsten meiner Meinung nach, sehe aber auch viele Stolpersteine. Jedoch bin ich mir auch bewusst das es Weg 2. gibt und wollte mal bei euch nachfragen wie ihr das machen würdet.
Ihr seid in diesem Falle für Weg zwei, anscheinend weil ihr mehr Berge seht als ich. Vielleicht bin ich noch jung und grün hinter den Ohren, aber deswegen Frage ich ja nach Erfahrungen .
Nice Evening!
KMUlife
1. Viele Gruppen & User sind im AD vorhanden welche weder gebraucht werden noch nützlich sind
Benutzer kannst Du erstmal deaktivieren.Bei den Gruppen würde icn mich erstmal vergewissern, ob sie nicht irgendwo bei den Berechtigungen eingetragen sind.
Leere Gruppen könntest Du löschen.
2. Es hat viele SID's welche unbekannt sind
"Es"?Du meinst, wenn Du in die Zugriffsberechtigungen von Dateien und Ordner schaust?
3. Ich könnte die User alle in einen Neuen Topf werfen mit Anmeldename und auch neuen Ordnerstrukturen & Berechtigungen --> Sie müssen sich nur einmal umgewöhnen und nicht immer wieder ein bisschen
Ja, kannst Du. Alles in der vorhandenen Domäne.4. Ich hatte schon zwei drei mal das Problem das ein Computer "unauthenticated" war aus momentan noch unerklärlichen Gründen
Doppelter Name?Uhrzeit nicht synchron?
Backup wiederhergestellt?
5. Die DNS-Reverslookupzone funktioniert nicht - (nebensächlich allenfalls hats aber einen zusammenhang)
Was heißt "funktioniert nicht"?6. Die nicht nützlichen User könnte ich einfach löschen, jedoch kann es sein, dass der User im Hintergrund für ein Prozess gebraucht wird welcher vor 5 Jahren erstellt wurde und niemand hat dies aufgeschrieben
Wenn es sein könnte, "dass der User im Hintergrund für ein Prozess gebraucht wird", wie kannst Du dann den Satz beginnen mit "Die nicht nützlichen User"? Du weißt es doch offensichtlich nicht. Genau sowas musst Du als Erstes feststellen. Entweder remote abfragen oder als Turnschuhadmin die Kisten abklappern. Aber mach es dann besser! Dokumentiere es professionell.7. Wenn ich es neu aus dem Boden stampfe weiss ich genau was wo läuft und wie das ganze zusammenhängt + kann es dokumentieren.
Nein das weißt Du nicht. Weil Du ja jetzt offensichtlich gar nicht weißt, was alles Du wie bereitstellen musst. Bei der Sammlung dieser Daten wirst Du zwangsläufig die vorhandene Umgebung aufnehmen müssen. Oder willst Du etwa ohne Plan, was benötigt wird, anfangen? ("besser machen" )Aaaaaber ich muss dir also auch Recht geben, dass es eine Mordsaufgabe ist und schlussendlich ist es keine Schulbuch Aufgabe sondern die Leute sollen arbeiten können.... und das stelle ich am ehesten sicher wenn ich Stück um Stück ablöse. Vor allem fehlen mir auch die Ressourcen dies in sagen wir "einem Wochenende" durchziehen zu können.
Richtig! Dein Gott ist hier nicht der Computer sondern der Anwender. Und bedenke: Auch die GF gehört zu den Anwendern.