Planung AD DS
Hallo Zusammen...
Ich soll eine Umgebung mit AD DS planen, hab auch schon verschiedene Beiträge gefunden und versucht mich einzulesen... aber irgendwie fehlt mir noch was.
Geplant ist folgendes (alle Server 2008, Clients WinXP):
- 1 Server soll die komplette Benutzerverwaltung übernehmen und sämtliche Berechtigungen verwalten, auch für die anderen Server. Zudem soll von hier aus per RDP auf den Visual-Server uns TS-Server zugegriffen werden. Der Server wäre der DC. (Kommunikation-Server)
- 1 Server dient nur dazu, eine DB zu hosten (DB-Server)
- 1 Server enthält Software, um Daten vom DB-Server zu visualisieren (Visual-Server)
- 1 Server soll Terminal-Services zu Verfügung stellen (Anwendungs-Server)
Die Server sollen wie folgt 'gruppiert' werden:
- Der Kommunikation-Server soll für sich alleine stehen
- Der TS-Server soll für sich alleine stehen
- Der DB-Server und Visual-Server sollen in eine 'Gruppe'
Benutzeranmeldung:
Der User meldet sich auf dem Kommunikation-Server an, soll hier seine Berechtigungen bekommen und von da aus Zugriff auf den TS- und Visual-Server per RDP bekommen. Die Anmeldung kann sowohl Intern im Netz sein sowie per VPN von Extern.
Fragen:
1. Ist es überhaupt möglich, die Berechtigungen der Server von nur einem Server aus zu steuern oder müsste die ADS auf allen Servern verteilt werden?
2. Wenn ich per Tree organisiere, müsste ja für jede 'Sub-Domain' ein DC vorhanden sein, falls ich das richtig verstanden habe. Also müsste neben den 'normalen' Aufgaben der Server eine eigene ADS haben, somit eigenen DNS zur Verfügung stellen usw... seh ich das so richtig?
3. Ich könnte das ganze auch mit OU grupieren, das macht für mich mehr Sinn. Kann ich denn eine erstellte Gruppe in verschiedenen OU's nutzen?
Hätte noch jede menge anderer Fragen... aber das reicht erstmal. Evt. hat ja jemand einen Tip, kann mir Literatur zum Thema oder gute Online-Quellen nennen...
Danke erstmal...
Gruß
GKR
Ich soll eine Umgebung mit AD DS planen, hab auch schon verschiedene Beiträge gefunden und versucht mich einzulesen... aber irgendwie fehlt mir noch was.
Geplant ist folgendes (alle Server 2008, Clients WinXP):
- 1 Server soll die komplette Benutzerverwaltung übernehmen und sämtliche Berechtigungen verwalten, auch für die anderen Server. Zudem soll von hier aus per RDP auf den Visual-Server uns TS-Server zugegriffen werden. Der Server wäre der DC. (Kommunikation-Server)
- 1 Server dient nur dazu, eine DB zu hosten (DB-Server)
- 1 Server enthält Software, um Daten vom DB-Server zu visualisieren (Visual-Server)
- 1 Server soll Terminal-Services zu Verfügung stellen (Anwendungs-Server)
Die Server sollen wie folgt 'gruppiert' werden:
- Der Kommunikation-Server soll für sich alleine stehen
- Der TS-Server soll für sich alleine stehen
- Der DB-Server und Visual-Server sollen in eine 'Gruppe'
Benutzeranmeldung:
Der User meldet sich auf dem Kommunikation-Server an, soll hier seine Berechtigungen bekommen und von da aus Zugriff auf den TS- und Visual-Server per RDP bekommen. Die Anmeldung kann sowohl Intern im Netz sein sowie per VPN von Extern.
Fragen:
1. Ist es überhaupt möglich, die Berechtigungen der Server von nur einem Server aus zu steuern oder müsste die ADS auf allen Servern verteilt werden?
2. Wenn ich per Tree organisiere, müsste ja für jede 'Sub-Domain' ein DC vorhanden sein, falls ich das richtig verstanden habe. Also müsste neben den 'normalen' Aufgaben der Server eine eigene ADS haben, somit eigenen DNS zur Verfügung stellen usw... seh ich das so richtig?
3. Ich könnte das ganze auch mit OU grupieren, das macht für mich mehr Sinn. Kann ich denn eine erstellte Gruppe in verschiedenen OU's nutzen?
Hätte noch jede menge anderer Fragen... aber das reicht erstmal. Evt. hat ja jemand einen Tip, kann mir Literatur zum Thema oder gute Online-Quellen nennen...
Danke erstmal...
Gruß
GKR
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113502
Url: https://administrator.de/forum/planung-ad-ds-113502.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
meiner Meinung nach ist dein Ansatz für diese geringe Serverzahl viel zu kompliziert. Aber nun zu deinen Fragen:
1. Es ist durchaus möglich die ADS nur auf einem Server bereitzustellen, alle anderen server können über das netz dann darauf zugreifen. Aus Gründen der Redundanz sollte jedoch ein zweiter DC vorhanden sein, falls der erste mal ausfällt.
2. Für jede Domäne (und auch Subdomäne) muß ein separater DC vorhanden sein. Für alle Domänen innerhalb eines Trees wird jedoch nur ein einzelner DNS-Server benötigt.
3. Gruppen im AD können auch in anderen OU's benutzt werden, allerdings werden Gruppen meistens benutzt um Benutzer zuzsammenzufassen.
=> Was willst du eigentlich mit dieser "Gruppierung" erreichen?
mfg
Harald
meiner Meinung nach ist dein Ansatz für diese geringe Serverzahl viel zu kompliziert. Aber nun zu deinen Fragen:
1. Es ist durchaus möglich die ADS nur auf einem Server bereitzustellen, alle anderen server können über das netz dann darauf zugreifen. Aus Gründen der Redundanz sollte jedoch ein zweiter DC vorhanden sein, falls der erste mal ausfällt.
2. Für jede Domäne (und auch Subdomäne) muß ein separater DC vorhanden sein. Für alle Domänen innerhalb eines Trees wird jedoch nur ein einzelner DNS-Server benötigt.
3. Gruppen im AD können auch in anderen OU's benutzt werden, allerdings werden Gruppen meistens benutzt um Benutzer zuzsammenzufassen.
=> Was willst du eigentlich mit dieser "Gruppierung" erreichen?
mfg
Harald
Hallo,
mach im AD zwei Gruppen ExternTSUser und Intern TSUser, in diese packst du die ADS-Benutzerkonten, die auf die jeweiligen Server RDP-Zugriffsrechte haben sollen. Auf den Servern selbst vergibst du dann diesen Benutzern das Recht zur Remoteanmeldung. Fertig!
OU's benötigst du meiner Meinung nach hierzu nicht.
Ich sehe auch keinen Grund ein Routing einzubauen, damit wird die ganze Angelegenheit nur viel fehleranfälliger.
mfg
Harald
mach im AD zwei Gruppen ExternTSUser und Intern TSUser, in diese packst du die ADS-Benutzerkonten, die auf die jeweiligen Server RDP-Zugriffsrechte haben sollen. Auf den Servern selbst vergibst du dann diesen Benutzern das Recht zur Remoteanmeldung. Fertig!
OU's benötigst du meiner Meinung nach hierzu nicht.
Ich sehe auch keinen Grund ein Routing einzubauen, damit wird die ganze Angelegenheit nur viel fehleranfälliger.
mfg
Harald