11
OU im Unternehmen einführen oder nicht? Vorteile und Nachteile
Hallo zusammen,
um die Arbeit der Administration etwas zu vereinfachen überlegen wir derzeit OU im AD anzulegen.
Nun ist es aber so bevor wir uns das AD zerlegen oder Rechte Probleme bekommen, frag ich mal hier nach Erfahrungswerten oder Merkmalen.
Kurz zur Struktur:
domäne1.intern (2 Domäne Controller 2008R2)
domäne2.intern (1 DC 2012R2, 1 DC 2008R2)
Die beiden Domänen haben eine Vertrauensstellung.
Aktive AD Benutzer: ca 230 Stk.
Aktive AD Computer: ca 240 Stk.
Atkive Server im Unternehmen: ca. 60 Stk.
Da die Softwareverteilung (WSUS und WSUS UpdatePublisher) immer gezielter ablaufen soll, wären OU's denke ich mal von Vorteil.
Ich würde nun wie folgt vorgehen:
Container "Computer" wird aufgeteilt in die OU's:
Arbeitsplaetze - Windows 7 / Windows 8
Server - Produktiv - Windows / Linux
Server - Testsysteme
Server - Development
Container "Users" so:
Mitarbeiter -
IT, Marketing, Lager, Versand, Buchhaltung....,etc.
Jetzt ist für mich die Frage, wie kann ich meine Kollegen am besten von diesem Konzept überzeugen?!
Ich möchte ungerne, dass wir uns damit Probleme ins Haus holen und inwiefern es sinnvoll ist.
Tendenz sind immer mehr User und Clients, sowie Server.
Bin auf eure Antworten gespannt.
Schönen Start ins Wochenende schonmal
PS:
Nein das sollte kein normaler "Freitagsthread" sein
um die Arbeit der Administration etwas zu vereinfachen überlegen wir derzeit OU im AD anzulegen.
Nun ist es aber so bevor wir uns das AD zerlegen oder Rechte Probleme bekommen, frag ich mal hier nach Erfahrungswerten oder Merkmalen.
Kurz zur Struktur:
domäne1.intern (2 Domäne Controller 2008R2)
domäne2.intern (1 DC 2012R2, 1 DC 2008R2)
Die beiden Domänen haben eine Vertrauensstellung.
Aktive AD Benutzer: ca 230 Stk.
Aktive AD Computer: ca 240 Stk.
Atkive Server im Unternehmen: ca. 60 Stk.
Da die Softwareverteilung (WSUS und WSUS UpdatePublisher) immer gezielter ablaufen soll, wären OU's denke ich mal von Vorteil.
Ich würde nun wie folgt vorgehen:
Container "Computer" wird aufgeteilt in die OU's:
Arbeitsplaetze - Windows 7 / Windows 8
Server - Produktiv - Windows / Linux
Server - Testsysteme
Server - Development
Container "Users" so:
Mitarbeiter -
IT, Marketing, Lager, Versand, Buchhaltung....,etc.
Jetzt ist für mich die Frage, wie kann ich meine Kollegen am besten von diesem Konzept überzeugen?!
Ich möchte ungerne, dass wir uns damit Probleme ins Haus holen und inwiefern es sinnvoll ist.
Tendenz sind immer mehr User und Clients, sowie Server.
Bin auf eure Antworten gespannt.
Schönen Start ins Wochenende schonmal
PS:
Nein das sollte kein normaler "Freitagsthread" sein
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254848
Url: https://administrator.de/contentid/254848
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Und dann wirst du folgendes feststellen:
Wenn man an den OUs nicht mit den Vererbungsregeln herumspielt, also das Erben blockst oder erzwingst, hat das keine Auswirkungen welche GPOs für die Objekte gezogen werden.
lg,
Slainte
wie kann ich meine Kollegen am besten von diesem Konzept überzeugen?!
Als erstes befasst du dich am besten mit dem AD und den OUs, liest dir Wissen an, spielst mit einem Testsystem...Und dann wirst du folgendes feststellen:
Wenn man an den OUs nicht mit den Vererbungsregeln herumspielt, also das Erben blockst oder erzwingst, hat das keine Auswirkungen welche GPOs für die Objekte gezogen werden.
Nein das sollte kein normaler "Freitagsthread" sein
Da bin ich mir noch nicht so sicher lg,
Slainte
Hallo,
richtige Nachteile für OUs fallen mir nicht ein.
Nachteil für OU könnte sein:
Man muss sich an die Struktur halten die man einrichten,
sonst hat es keinen Sinn.
WSUS GPO legt man (falls man mehrere Standorte hat) nicht auf die Domäne oder OUs sondern auf Sites.
Weil sollte ein User mit seinen Notebook von einen Standort zum anderen fahren.
Dann würde er keine Updates ziehen oder wenn doch dann übers Netz vom anderen Werk.
Vorteile von OUs:
Strukturierter Aufbau von Computer- und Userkonten
Man kann feiner Rechte, Einstellungen, Software verteilen
Wichtig:
Bitte überlege dir ein gutes Konzept bezüglich des Aufbaues.
Im Nachhinein die Struktur ändern kann schwierig werden.
Kommt drauf an was man übers AD alles regelt und wie groß die Struktur ist.
richtige Nachteile für OUs fallen mir nicht ein.
Nachteil für OU könnte sein:
Man muss sich an die Struktur halten die man einrichten,
sonst hat es keinen Sinn.
WSUS GPO legt man (falls man mehrere Standorte hat) nicht auf die Domäne oder OUs sondern auf Sites.
Weil sollte ein User mit seinen Notebook von einen Standort zum anderen fahren.
Dann würde er keine Updates ziehen oder wenn doch dann übers Netz vom anderen Werk.
Vorteile von OUs:
Strukturierter Aufbau von Computer- und Userkonten
Man kann feiner Rechte, Einstellungen, Software verteilen
Wichtig:
Bitte überlege dir ein gutes Konzept bezüglich des Aufbaues.
Im Nachhinein die Struktur ändern kann schwierig werden.
Kommt drauf an was man übers AD alles regelt und wie groß die Struktur ist.
Interessant zu wissen wäre es auch ob Einstellungen in den Deault Policys vorgenommen wurden, da diese Aufgrund der Hierarchie sonst ggf. auch greifen. (zwar kann man die Verknüpfung aufheben, das funktioniert erfahrungsgemäß aber nicht immer sauber)
Außerdem wäre es hilfreich zu wissen wie es jetzt aussieht und wo du hin möchtest. Eine Unterteilung in Rechner/Server Anwendungsbereiche macht in meinen Augen wenig Sinn für eine OU, da reicht eine Gruppe völlig aus. (Ich hab schon AD's gesehen da wurde für jeden Drucker eine OU erstellt, für jeden Raum wo er genutzt wird... sowas muss dann nicht sein)
Nachvollziehbar wäre eine Strukturierung je Abteilung und Niederlassung, da man so Gruppenrichtlinien erstellen kann, die aufeinander aufbauen und sich einiges an Konfigurationsarbeit spart.
Gruß
Dante
PS: Welche Domänen wären betroffen? Da ihr ja 2 nutzt und welche Domäne ist es? (2008 R2er?)
Außerdem wäre es hilfreich zu wissen wie es jetzt aussieht und wo du hin möchtest. Eine Unterteilung in Rechner/Server Anwendungsbereiche macht in meinen Augen wenig Sinn für eine OU, da reicht eine Gruppe völlig aus. (Ich hab schon AD's gesehen da wurde für jeden Drucker eine OU erstellt, für jeden Raum wo er genutzt wird... sowas muss dann nicht sein)
Nachvollziehbar wäre eine Strukturierung je Abteilung und Niederlassung, da man so Gruppenrichtlinien erstellen kann, die aufeinander aufbauen und sich einiges an Konfigurationsarbeit spart.
Gruß
Dante
PS: Welche Domänen wären betroffen? Da ihr ja 2 nutzt und welche Domäne ist es? (2008 R2er?)
Hallo,
also aktuell sind beide 2008R2 Domänen.
Eine strukturierung ist meines erachtens nach dringend notwendig.
Aktuell tummeln sich alle Server/Clients (auch deaktiverte Konten) unter "Computers" ca. 400 Einträge,
Unter "Users" sind aktuell ca. 1300 Objekte (Sicherheitsgruppen, Verteilergruppen, Users, etc.)
Mir schwebt halt eine Unterteilung in "Abteilungen" vor, da der WSUS Update Publisher dann gezielt Programme bei gewissen Usern installieren kann, was derzeit alles per Hand passiert!
Sowas wie Filezilla, Notepad++ und Co.!
also aktuell sind beide 2008R2 Domänen.
Eine strukturierung ist meines erachtens nach dringend notwendig.
Aktuell tummeln sich alle Server/Clients (auch deaktiverte Konten) unter "Computers" ca. 400 Einträge,
Unter "Users" sind aktuell ca. 1300 Objekte (Sicherheitsgruppen, Verteilergruppen, Users, etc.)
Mir schwebt halt eine Unterteilung in "Abteilungen" vor, da der WSUS Update Publisher dann gezielt Programme bei gewissen Usern installieren kann, was derzeit alles per Hand passiert!
Sowas wie Filezilla, Notepad++ und Co.!
Wie werden dann Userbezogene Einstellungen übernommen?
Skripte? Wenn alle sich in ein und der selben OU befinden kann es ja keine unterschiedlichen Gruppenrichtlinien geben?
Gruß
Dante
Edit: Und warum 2 Domänen?
Skripte? Wenn alle sich in ein und der selben OU befinden kann es ja keine unterschiedlichen Gruppenrichtlinien geben?
Gruß
Dante
Edit: Und warum 2 Domänen?
Im Moment wird alles über WMI Filter mit Rechnernamen gefiltert....sehr "elegante" Lösung :D
Die Netzlaufwerke werden über Gruppen GPO verteilt.
Die Netzlaufwerke werden über Gruppen GPO verteilt.
Hm okay... ^.^ ...
wofür braucht ihr denn die 2 domänen?
Macht das Sinn? (Hoffe die berühren sich nicht?)
Gruß
Dante
wofür braucht ihr denn die 2 domänen?
Macht das Sinn? (Hoffe die berühren sich nicht?)
Gruß
Dante
Da hier mehrere Firmen für die hauptfirma tätig sind wird die 2 benötigt.
Aktuell wird nur in 2 Doms unterteilt am Hauptstandort ist Mischbetrieb und in einer Außenstelle nur die dom 2 das soll sich zum Jahreswechsel anderen.
Aktuell wird nur in 2 Doms unterteilt am Hauptstandort ist Mischbetrieb und in einer Außenstelle nur die dom 2 das soll sich zum Jahreswechsel anderen.
Okay das verstehe ich noch nicht so ganz...
Was soll sich zum Jahreswechsel genau ändern?
Wenn es mehrere Firmen gibt die für die Hauptfirma tätig sind, bedarf es dennoch keiner 2 Domänen (oder sind es separierte Netzwerke mit entsprechendem Routing?
Wenn sich 2 unterschiedliche Domänen berühren kann das durchaus knallen, wir haben eine neue Domäne in einer Testumgebung aufgezogen und dann den falschen Stecker umgesteckt (Netzwerk) und hatten dann ein sehr langes WE da wir die komplette Domäne neu machen mussten (die alte lief entsprechend nicht mehr)
Generelle Vorteile von einer OU Struktur sind neben der Ordnung ja vor allem die Möglichkeiten Konfigurationen rekursiv festzulegen. Es gibt Einstellungen die je Standort für alle gleich sind, einige für eine Abteilung usw. so kann man das mit Gruppenrichtlinien gut umsetzten und hat eine klare und nachvollziehbar Struktur im Hintergrund.
Gruß
Dante
Was soll sich zum Jahreswechsel genau ändern?
Wenn es mehrere Firmen gibt die für die Hauptfirma tätig sind, bedarf es dennoch keiner 2 Domänen (oder sind es separierte Netzwerke mit entsprechendem Routing?
Wenn sich 2 unterschiedliche Domänen berühren kann das durchaus knallen, wir haben eine neue Domäne in einer Testumgebung aufgezogen und dann den falschen Stecker umgesteckt (Netzwerk) und hatten dann ein sehr langes WE da wir die komplette Domäne neu machen mussten (die alte lief entsprechend nicht mehr)
Generelle Vorteile von einer OU Struktur sind neben der Ordnung ja vor allem die Möglichkeiten Konfigurationen rekursiv festzulegen. Es gibt Einstellungen die je Standort für alle gleich sind, einige für eine Abteilung usw. so kann man das mit Gruppenrichtlinien gut umsetzten und hat eine klare und nachvollziehbar Struktur im Hintergrund.
Gruß
Dante
Zum Jahreswechsel werden viele Rechner aus DOM1 und DOM2 vom Hauptstandort zur Außenstelle in DOM2 wechseln.
Handelt sich um ca. 50 Clients.
Für mich macht eine OU Unterteilung halt mittlerweile durchaus großen Sinn, nur man muss halt den Vorgesetzten davon überzeugen!
Handelt sich um ca. 50 Clients.
Für mich macht eine OU Unterteilung halt mittlerweile durchaus großen Sinn, nur man muss halt den Vorgesetzten davon überzeugen!
Achso okay.
Naja wie gesagt der Hauptgrund ist einfach die Zeitersparnis. Wenn du für alle 50 Geräte ein paar Std. Einstellungen mitgeben möchtest (z.B. welcher Benutzer was sehen kann, welche Fenster, Laufwerke usw. ist es ziemlich müßig diese einzeln auf allen 50 Geräten zu hinterlegen. Für so was gibt es dann Gruppenrichtlinien die an OU's gebunden sind.
Dazu verknüpft man Gruppenrichtlinienobjekte mit einer OU und gibt die Reihenfolge dieser Verknüpfungen an. So kann man Änderungen sehr schnell und rekursiv umsetzten.
Ein anderes einfaches Beispiel wäre das erzeugen von Verknüpfungen, wenn ihr Progamme nutzt die userbezogene Pfade haben (also jeweils in einem anderen Benutzerordner ausgeführt werden) ist es ziemlich umständlich Verknüpfungen für jeden Benutzer anzulegen, auch dies lässt sich dann über Gruppenrichtlinien steuern.
Mit anderen Worten man kann sehr schnell und umfangreich sehr weitreichende Änderungen an einzelnen Rechner, Usern, Gruppen usw. vornehmen, die sonst sehr sehr viel Zeit in Anspruch nehmen würden.
Allerdings ein Hinweis an dieser Stelle:
Es ist nicht gut bei der Umsetzung nur auf Gruppenrichtlinien zu bauen, eine Kombination aus GPO und Skripten ist in meinen Augen die beste Wahl. Wobei ich persönlich Powershell Skripte bevorzuge, aber Firmen bedingt mehr mit VBS arbeite.
Brauchst du noch genauere Beschreibungen welche Vorteile das ganze hat, außer eine enorme Zeitersparnis?
Gruß
Dante
Naja wie gesagt der Hauptgrund ist einfach die Zeitersparnis. Wenn du für alle 50 Geräte ein paar Std. Einstellungen mitgeben möchtest (z.B. welcher Benutzer was sehen kann, welche Fenster, Laufwerke usw. ist es ziemlich müßig diese einzeln auf allen 50 Geräten zu hinterlegen. Für so was gibt es dann Gruppenrichtlinien die an OU's gebunden sind.
Dazu verknüpft man Gruppenrichtlinienobjekte mit einer OU und gibt die Reihenfolge dieser Verknüpfungen an. So kann man Änderungen sehr schnell und rekursiv umsetzten.
Ein anderes einfaches Beispiel wäre das erzeugen von Verknüpfungen, wenn ihr Progamme nutzt die userbezogene Pfade haben (also jeweils in einem anderen Benutzerordner ausgeführt werden) ist es ziemlich umständlich Verknüpfungen für jeden Benutzer anzulegen, auch dies lässt sich dann über Gruppenrichtlinien steuern.
Mit anderen Worten man kann sehr schnell und umfangreich sehr weitreichende Änderungen an einzelnen Rechner, Usern, Gruppen usw. vornehmen, die sonst sehr sehr viel Zeit in Anspruch nehmen würden.
Allerdings ein Hinweis an dieser Stelle:
Es ist nicht gut bei der Umsetzung nur auf Gruppenrichtlinien zu bauen, eine Kombination aus GPO und Skripten ist in meinen Augen die beste Wahl. Wobei ich persönlich Powershell Skripte bevorzuge, aber Firmen bedingt mehr mit VBS arbeite.
Brauchst du noch genauere Beschreibungen welche Vorteile das ganze hat, außer eine enorme Zeitersparnis?
Gruß
Dante
