5
Planung AD DS
Hallo Zusammen...
Ich soll eine Umgebung mit AD DS planen, hab auch schon verschiedene Beiträge gefunden und versucht mich einzulesen... aber irgendwie fehlt mir noch was.
Geplant ist folgendes (alle Server 2008, Clients WinXP):
- 1 Server soll die komplette Benutzerverwaltung übernehmen und sämtliche Berechtigungen verwalten, auch für die anderen Server. Zudem soll von hier aus per RDP auf den Visual-Server uns TS-Server zugegriffen werden. Der Server wäre der DC. (Kommunikation-Server)
- 1 Server dient nur dazu, eine DB zu hosten (DB-Server)
- 1 Server enthält Software, um Daten vom DB-Server zu visualisieren (Visual-Server)
- 1 Server soll Terminal-Services zu Verfügung stellen (Anwendungs-Server)
Die Server sollen wie folgt 'gruppiert' werden:
- Der Kommunikation-Server soll für sich alleine stehen
- Der TS-Server soll für sich alleine stehen
- Der DB-Server und Visual-Server sollen in eine 'Gruppe'
Benutzeranmeldung:
Der User meldet sich auf dem Kommunikation-Server an, soll hier seine Berechtigungen bekommen und von da aus Zugriff auf den TS- und Visual-Server per RDP bekommen. Die Anmeldung kann sowohl Intern im Netz sein sowie per VPN von Extern.
Fragen:
1. Ist es überhaupt möglich, die Berechtigungen der Server von nur einem Server aus zu steuern oder müsste die ADS auf allen Servern verteilt werden?
2. Wenn ich per Tree organisiere, müsste ja für jede 'Sub-Domain' ein DC vorhanden sein, falls ich das richtig verstanden habe. Also müsste neben den 'normalen' Aufgaben der Server eine eigene ADS haben, somit eigenen DNS zur Verfügung stellen usw... seh ich das so richtig?
3. Ich könnte das ganze auch mit OU grupieren, das macht für mich mehr Sinn. Kann ich denn eine erstellte Gruppe in verschiedenen OU's nutzen?
Hätte noch jede menge anderer Fragen... aber das reicht erstmal. Evt. hat ja jemand einen Tip, kann mir Literatur zum Thema oder gute Online-Quellen nennen...
Danke erstmal...
Gruß
GKR
Ich soll eine Umgebung mit AD DS planen, hab auch schon verschiedene Beiträge gefunden und versucht mich einzulesen... aber irgendwie fehlt mir noch was.
Geplant ist folgendes (alle Server 2008, Clients WinXP):
- 1 Server soll die komplette Benutzerverwaltung übernehmen und sämtliche Berechtigungen verwalten, auch für die anderen Server. Zudem soll von hier aus per RDP auf den Visual-Server uns TS-Server zugegriffen werden. Der Server wäre der DC. (Kommunikation-Server)
- 1 Server dient nur dazu, eine DB zu hosten (DB-Server)
- 1 Server enthält Software, um Daten vom DB-Server zu visualisieren (Visual-Server)
- 1 Server soll Terminal-Services zu Verfügung stellen (Anwendungs-Server)
Die Server sollen wie folgt 'gruppiert' werden:
- Der Kommunikation-Server soll für sich alleine stehen
- Der TS-Server soll für sich alleine stehen
- Der DB-Server und Visual-Server sollen in eine 'Gruppe'
Benutzeranmeldung:
Der User meldet sich auf dem Kommunikation-Server an, soll hier seine Berechtigungen bekommen und von da aus Zugriff auf den TS- und Visual-Server per RDP bekommen. Die Anmeldung kann sowohl Intern im Netz sein sowie per VPN von Extern.
Fragen:
1. Ist es überhaupt möglich, die Berechtigungen der Server von nur einem Server aus zu steuern oder müsste die ADS auf allen Servern verteilt werden?
2. Wenn ich per Tree organisiere, müsste ja für jede 'Sub-Domain' ein DC vorhanden sein, falls ich das richtig verstanden habe. Also müsste neben den 'normalen' Aufgaben der Server eine eigene ADS haben, somit eigenen DNS zur Verfügung stellen usw... seh ich das so richtig?
3. Ich könnte das ganze auch mit OU grupieren, das macht für mich mehr Sinn. Kann ich denn eine erstellte Gruppe in verschiedenen OU's nutzen?
Hätte noch jede menge anderer Fragen... aber das reicht erstmal. Evt. hat ja jemand einen Tip, kann mir Literatur zum Thema oder gute Online-Quellen nennen...
Danke erstmal...
Gruß
GKR
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113502
Url: https://administrator.de/contentid/113502
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
meiner Meinung nach ist dein Ansatz für diese geringe Serverzahl viel zu kompliziert. Aber nun zu deinen Fragen:
1. Es ist durchaus möglich die ADS nur auf einem Server bereitzustellen, alle anderen server können über das netz dann darauf zugreifen. Aus Gründen der Redundanz sollte jedoch ein zweiter DC vorhanden sein, falls der erste mal ausfällt.
2. Für jede Domäne (und auch Subdomäne) muß ein separater DC vorhanden sein. Für alle Domänen innerhalb eines Trees wird jedoch nur ein einzelner DNS-Server benötigt.
3. Gruppen im AD können auch in anderen OU's benutzt werden, allerdings werden Gruppen meistens benutzt um Benutzer zuzsammenzufassen.
=> Was willst du eigentlich mit dieser "Gruppierung" erreichen?
mfg
Harald
meiner Meinung nach ist dein Ansatz für diese geringe Serverzahl viel zu kompliziert. Aber nun zu deinen Fragen:
1. Es ist durchaus möglich die ADS nur auf einem Server bereitzustellen, alle anderen server können über das netz dann darauf zugreifen. Aus Gründen der Redundanz sollte jedoch ein zweiter DC vorhanden sein, falls der erste mal ausfällt.
2. Für jede Domäne (und auch Subdomäne) muß ein separater DC vorhanden sein. Für alle Domänen innerhalb eines Trees wird jedoch nur ein einzelner DNS-Server benötigt.
3. Gruppen im AD können auch in anderen OU's benutzt werden, allerdings werden Gruppen meistens benutzt um Benutzer zuzsammenzufassen.
=> Was willst du eigentlich mit dieser "Gruppierung" erreichen?
mfg
Harald
Hi Harald....
erstmal Danke für Deine Antwort...
Also... wir haben ein Online System, das Daten (DB-Server) sammelt und diese sollen dann ausgwertet und dann 'anschaulich' dargestellt werden (Visual-Server).
Jetzt gibt es natürlich Leute, die via VPN auf ihre Daten schauen möchten. Diese sollen sich auf dem Kommunikations-Server anmelden und von da aus auf den Visual-Server, um sich die Daten anzusehen.
Der Anwendungsserver soll nur lokal für die MA im Unternehmen zur Verfügung stehen, die Anmeldung soll über den Kommunikation-Server laufen, sowohl intern als auch extern.
Mein Chef würde das ganze noch in verschiedene IP-Segmente unterteilen (192.168.100.xxx, 192.168.200.....) und das ganze routing dann auch noch über den DC laufen lassen.
Die Frage nach den Gruppen hatte folgenden Hintergrund:
Wenn ich das ganze mit OU's darstelle, kann ich ja den OU's keine Berechtigungen geben, sondern nur Gruppen (ist glaub ich richtig). Und darin sind dann die Benutzer.
Nehmen wir mal an, ich erstelle 2 Gruppen, ExternUsers und InternUsers. Die Externen sollen nur auf den Visual per RDP Zugriff haben, die Internen nur auf den Anwendungs-Server. Somit könnte ich zb einen Benutzer in beide Gruppen aufnehmen, er könnte beide Server per RDP erreichen.
Was mir jetzt allerdings bei der Sache in den Kopf gehen will ist, wenn ich die AD nur auf einem Rechner habe, wie geht dann das denn dann mit den Rechten durchreichen... so ähnlich wie bei Domains unter NT? Müssen die Gruppen und User nochnmal auf dem jeweiligen Server angelegt werden?
Ich hab da echt ein Vorstellungsproblem.... :O(
Alles in allem sollen halt 3 Bereiche entsehen - Anmeldung, Visuallisierung und Arbeitsbereich.
Alles Kauderwelch... so sieht das bei mir im Moment auch inner Birne aus... *gg*
Gruß
Guido
erstmal Danke für Deine Antwort...
Also... wir haben ein Online System, das Daten (DB-Server) sammelt und diese sollen dann ausgwertet und dann 'anschaulich' dargestellt werden (Visual-Server).
Jetzt gibt es natürlich Leute, die via VPN auf ihre Daten schauen möchten. Diese sollen sich auf dem Kommunikations-Server anmelden und von da aus auf den Visual-Server, um sich die Daten anzusehen.
Der Anwendungsserver soll nur lokal für die MA im Unternehmen zur Verfügung stehen, die Anmeldung soll über den Kommunikation-Server laufen, sowohl intern als auch extern.
Mein Chef würde das ganze noch in verschiedene IP-Segmente unterteilen (192.168.100.xxx, 192.168.200.....) und das ganze routing dann auch noch über den DC laufen lassen.
Die Frage nach den Gruppen hatte folgenden Hintergrund:
Wenn ich das ganze mit OU's darstelle, kann ich ja den OU's keine Berechtigungen geben, sondern nur Gruppen (ist glaub ich richtig). Und darin sind dann die Benutzer.
Nehmen wir mal an, ich erstelle 2 Gruppen, ExternUsers und InternUsers. Die Externen sollen nur auf den Visual per RDP Zugriff haben, die Internen nur auf den Anwendungs-Server. Somit könnte ich zb einen Benutzer in beide Gruppen aufnehmen, er könnte beide Server per RDP erreichen.
Was mir jetzt allerdings bei der Sache in den Kopf gehen will ist, wenn ich die AD nur auf einem Rechner habe, wie geht dann das denn dann mit den Rechten durchreichen... so ähnlich wie bei Domains unter NT? Müssen die Gruppen und User nochnmal auf dem jeweiligen Server angelegt werden?
Ich hab da echt ein Vorstellungsproblem.... :O(
Alles in allem sollen halt 3 Bereiche entsehen - Anmeldung, Visuallisierung und Arbeitsbereich.
Alles Kauderwelch... so sieht das bei mir im Moment auch inner Birne aus... *gg*
Gruß
Guido
Hallo,
mach im AD zwei Gruppen ExternTSUser und Intern TSUser, in diese packst du die ADS-Benutzerkonten, die auf die jeweiligen Server RDP-Zugriffsrechte haben sollen. Auf den Servern selbst vergibst du dann diesen Benutzern das Recht zur Remoteanmeldung. Fertig!
OU's benötigst du meiner Meinung nach hierzu nicht.
Ich sehe auch keinen Grund ein Routing einzubauen, damit wird die ganze Angelegenheit nur viel fehleranfälliger.
mfg
Harald
mach im AD zwei Gruppen ExternTSUser und Intern TSUser, in diese packst du die ADS-Benutzerkonten, die auf die jeweiligen Server RDP-Zugriffsrechte haben sollen. Auf den Servern selbst vergibst du dann diesen Benutzern das Recht zur Remoteanmeldung. Fertig!
OU's benötigst du meiner Meinung nach hierzu nicht.
Ich sehe auch keinen Grund ein Routing einzubauen, damit wird die ganze Angelegenheit nur viel fehleranfälliger.
mfg
Harald
also muß ich pro Server doch wieder lokale User/Gruppen verwalten... ich bin jetzt davon ausgegangen das sich das mit ADS erledigt !?
Hallo,
du musst bei den einzelnen Servern schon angeben, welche User/Gruppen zugriffsberechtigt sind - von allein erledigt sich das nicht. Allerdings mußt du das nur einmal machen, die Zugehörigkeit der Benutzer zu den einzelnen Gruppen wird dann im AD definiert.
mfg
Harald
du musst bei den einzelnen Servern schon angeben, welche User/Gruppen zugriffsberechtigt sind - von allein erledigt sich das nicht. Allerdings mußt du das nur einmal machen, die Zugehörigkeit der Benutzer zu den einzelnen Gruppen wird dann im AD definiert.
mfg
Harald
