8
AD Struktur
Hallo Leute,
wir planen gerade die AD Struktur und ich habe ein paar Fragen. Aktuelles Beispiel:
DOMAIN.COM
OU=Standort1
OU=Standort2
OU=Standort3
In jedem Standort gibt es ein OU=Servers. Diese unterteile ich in veschiedene Abteilungen (Security/Netzwerk, Infrastruktur) Nun die Frage, kann ich denn die Systeme die in diesen beiden Bereichen drin sind in weiteren OUs aufteilen oder macht das keinen Sinn??? Zb im Bereich Infrastruktur weitere OUs für Backup, Monitoring, DNS usw. Macht das Sinn oder ist das sicherheitstechnisch schlecht (da man ja so sieht welche Systeme sich in den OUS befinden???
Dann noch ne Frage zu den Gruppen. Es gibt ja die Bulit-IN Groups - Ich benötige Account Operators, die in allen OUs (Standorten) accounts/gruppen anlegen löschen und ändern darf. Wen ich der Master-Admin aller Standorte bin dann trage ich mich in diese Gruppe ein, oder??? Wenn ich aber diese Funktionen einen Admin an einen der Standorte geben will, dann muss ich diese Rechte "delegieren", oder? Das mache ich ja unter Advanced->und dann principal privileges....welche Rechte muss ich ihm denn dann hier geben???
Das geiche Frage ich mich bzgl. GPO-Admin. Ich als Masteradmin welche Rechte muss ich mir erteilen bzw. in welche Gruppe muss ich rein? Und wenn ich an den Standorten die dortigen ADmins die erlaubnis geben möchte ihre GPOs selber zu pflegen welche Rechte muss ich denen geben?
Dann benötige ich noch Admins die Computer Objekete anlgen, löschen und ändern durfen. Wie sieht es dann hier aus? Bin dabei für jede wichtige Funktion, bestimmten Admins die rechte zu erteilen nur benötige ich ne übersicht welche Rechte ich den Admins geben soll und wo ich das einstelle
wir planen gerade die AD Struktur und ich habe ein paar Fragen. Aktuelles Beispiel:
DOMAIN.COM
OU=Standort1
OU=Standort2
OU=Standort3
In jedem Standort gibt es ein OU=Servers. Diese unterteile ich in veschiedene Abteilungen (Security/Netzwerk, Infrastruktur) Nun die Frage, kann ich denn die Systeme die in diesen beiden Bereichen drin sind in weiteren OUs aufteilen oder macht das keinen Sinn??? Zb im Bereich Infrastruktur weitere OUs für Backup, Monitoring, DNS usw. Macht das Sinn oder ist das sicherheitstechnisch schlecht (da man ja so sieht welche Systeme sich in den OUS befinden???
Dann noch ne Frage zu den Gruppen. Es gibt ja die Bulit-IN Groups - Ich benötige Account Operators, die in allen OUs (Standorten) accounts/gruppen anlegen löschen und ändern darf. Wen ich der Master-Admin aller Standorte bin dann trage ich mich in diese Gruppe ein, oder??? Wenn ich aber diese Funktionen einen Admin an einen der Standorte geben will, dann muss ich diese Rechte "delegieren", oder? Das mache ich ja unter Advanced->und dann principal privileges....welche Rechte muss ich ihm denn dann hier geben???
Das geiche Frage ich mich bzgl. GPO-Admin. Ich als Masteradmin welche Rechte muss ich mir erteilen bzw. in welche Gruppe muss ich rein? Und wenn ich an den Standorten die dortigen ADmins die erlaubnis geben möchte ihre GPOs selber zu pflegen welche Rechte muss ich denen geben?
Dann benötige ich noch Admins die Computer Objekete anlgen, löschen und ändern durfen. Wie sieht es dann hier aus? Bin dabei für jede wichtige Funktion, bestimmten Admins die rechte zu erteilen nur benötige ich ne übersicht welche Rechte ich den Admins geben soll und wo ich das einstelle
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303237
Url: https://administrator.de/contentid/303237
Printed on: April 20, 2024 at 10:04 o'clock
8 Comments
Latest comment
Moin.
sorry, aber bist du dir wirklich sicher, das du dir das Thema zutraust?
sorry, aber bist du dir wirklich sicher, das du dir das Thema zutraust?
1
machs ja nicht alleine....das werden profis machen...nur möchte ich verstehen wie da geht
Sorry, aber ich bin davon überzeugt, das für Grundlagen ein Forum das falsche Medium ist. Im Internet gibt es dafür zu Hauf Literatur, die du dir erst einmal ansehen solltest. Bei konkreten Problemen helfe ich gerne weiter.
Hallo winlin
Wenn du das nicht selber machst, aber einfach bescheid wissen willst, dann schau dir das mal an:
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.
Grüsse
KMUlife
Wenn du das nicht selber machst, aber einfach bescheid wissen willst, dann schau dir das mal an:
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.
Grüsse
KMUlife
Zitat von @KMUlife:
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.
Super Bilder, Beschreibungen und Erklärungen... zwar noch auf basis von 2008 aber geändert hat sich ja nicht wirklich was.
Gibts sogar in Farbe und "aktueller"
http://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#d ...
Grüße Winary
1
Designing OU Structures that Work
Sicherheitstechnisch ist es egal, weil standardmäßig haben alle Domänen-Benutzer das Recht alle Geräte im gesamten Active Directory Aufzulisten...
Grundlegendes findest du z. B. in den Active Directory Teile der Kurse:
- 70-410
- 70-411
- 70-412
Sicherheitstechnisch ist es egal, weil standardmäßig haben alle Domänen-Benutzer das Recht alle Geräte im gesamten Active Directory Aufzulisten...
Wenn ich aber diese Funktionen einen Admin an einen der Standorte geben will, dann muss ich diese Rechte "delegieren", oder?
Prinzipiell, ja. Das ist jedoch schon sehr tief in der Thematik. Eventuell solltest du dir die Grundlagen als erstes aneignen.Grundlegendes findest du z. B. in den Active Directory Teile der Kurse:
- 70-410
- 70-411
- 70-412
Dann benötige ich noch Admins die Computer Objekete anlgen, löschen und ändern durfen.
Jeder Domänen-Benutzer hat standardmäßig auch das Recht bis zu 10? Geräte in die Domäne auf zunehmen...Zitat von @agowa338:
Jeder Domänen-Benutzer hat standardmäßig auch das Recht bis zu 10? Geräte in die Domäne auf zunehmen...
Aber nicht auf diesem PlanetenJeder Domänen-Benutzer hat standardmäßig auch das Recht bis zu 10? Geräte in die Domäne auf zunehmen...
Zitat von @127944:
Aber nicht auf diesem Planeten
DochAber nicht auf diesem Planeten
By default, Windows 2000 allows authenticated users to join ten machine accounts to the domain. If a user attempts to join an eleventh machine account, the error messages listed in the following Microsoft Knowledge Base Article are displayed:
https://support.microsoft.com/en-us/kb/243327Das wurde mit Windows 2000 eingeführt und ist bis heute enthalten. Nur ist es den meisten nicht bekannt...
Das kann in per GPO (Sicherheitsrichtlinie - Zuweisen von Benutzerrechten) deaktiviert werden...
