77690
Goto Top

Neuer Fileserver und alles wird besser

Juten Tach...

Da stehen wir mal vor ner neuen Sache und wir sind alle etwas ratlos im Sinne von was ist hingegen der Mircosoft Best Practise Umsetzung eurer Meinung nach der Beste weg.
Also wir wollen uns AD / OU Konstrukt jetzt mal so richtig anpacken.

Ausgangssituation:

Unternehmengruppe
..Firma 1
..Firma 2
..Firma 3

Eine Unternehmensgruppe mit Beispiel 3 Firmen.

Der Einkauf für z.B. Rohmaterialien ist für jede Firma autark, da unterschiedliche Rohmaterialien benötigt werden.
Dann ist der Einkauf z.B. in einen zweiten Bereich untergliedert, Verpackung und Etiketten.
Dieser Bereich kauft für alle Firmen in der Unternehmensgruppe ein.

Die Buchhaltung z.B. agiert für alle Firmen innerhalb der UG.
Ebenso die IT und Logistik.

Wirklich getrennt zu betrachten sind als Beispiel die Abteilungen Vertrieb und Marketing.
Diese haben keine Überschneidungen und arbeiten für jedes Unternehmen getrennt voneinander.

Die Rechner in der Unternehmensgruppe sind einheitlich.
Derzeit ist es so, jeder darf alles. OU's finden keine Anwendung und wir administrieren uns von Hand zu Fuß.
Wenig Automatisierung hinsichtlich der Login Scripte und Co. Drucker werden ebenso von Hand zu Fuß eingebunden.

Jetzt kann man natürlich Schema F durchführen und sich an die BP Vorgabe von Microsoft halten.
Aktuell halten wir es so, dass wir nur in einer Domäne arbeiten und nicht nach Firmen trennen.

Da wir uns hier verbessern möchten und auch eine saubere Fileserver Struktur aufbauen möchten, inkl. Rechtekonzept welches Dynamisch ist, möchten wir gerne eure Best Practise Erfahrungen sammeln.

Wir hätten jetzt gedacht, alles unter einer Domäne weiterlaufen zu lassen.
Die Unternehmen klassisch trennen und eigentlich die Servicebereiche gesondert betrachten.
Also die Servicebereiche IT, Buchhaltung ... usw. zu bündeln. Damit eben nicht Redundanzen entstehen.

Wie seht ihr das ?

Content-Key: 537490

Url: https://administrator.de/contentid/537490

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.01.2020 um 19:56:46 Uhr
Goto Top
Moin koonin,

vielleicht macht es am meisten SInn, sich mit jemandem zusammen zu setzen, der gleich eine Rechteliste zur Hand hat.

So würde ich sagen, entweder eine Überdomain oder entsprechende Gruppen. Aber wie gesagt, da ist immer das Detail entscheidend. Geht ja weiter mit Zusatzdiensten etc.

VG
Mitglied: Globetrotter
Lösung Globetrotter 20.01.2020 um 20:11:26 Uhr
Goto Top
Moin..
Haste nen "Schaubild" oder was wo zeigt, wie Du Dir das "erdachtest" ?
Für die Zukunft wäre vielleicht wirklich ein "Forest-Tree" von Sinn... ob man sich den aber geben will - andere Frage...
... Ansonsten mal einen AD-MVP anschreiben... das schadet auf keinen Fall.. konform solltet Ihr schon sein.. vorallem wenn Probleme auftreten...

Gruss Globe!
Mitglied: 77690
77690 20.01.2020 um 20:13:50 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Moin koonin,..
...der gleich eine Rechteliste zur Hand hat.


Auch die existiert noch nicht... Der Werkstudent der hier anfängt darf alles :-P Bis auf die Gehaltslisten... Die sind verschlossen.
Nein Scherz beiseite... Das Rechtesystem existiert nicht wirklich. Man hat nach und nach mal explizite User Berechtigungen auf einzelne Ordner gelegt, aber es gibt kein ganzheitliches Konzept.

Eine wild gewachsene Struktur.
Jetzt muss man einmal richtig Hand anlegen. Aber aufgrund der heutigen Strukturen hat man da wohl sehr viel Arbeit vor sich.
Mitglied: 77690
77690 20.01.2020 um 20:16:39 Uhr
Goto Top
Zitat von @Globetrotter:

Moin..
Haste nen "Schaubild" oder was wo zeigt, wie Du Dir das "erdachtest" ?
Für die Zukunft wäre vielleicht wirklich ein "Forest-Tree" von Sinn... ob man sich den aber geben will - andere Frage...
... Ansonsten mal einen AD-MVP anschreiben... das schadet auf keinen Fall.. konform solltet Ihr schon sein.. vorallem wenn Probleme auftreten...

Gruss Globe!

Danke... Ich glaube auch, dass es hier wohl auch am meisten Sinn macht sich mal einen MVP ins Haus zu holen.
Mitglied: Globetrotter
Globetrotter 20.01.2020 um 20:26:21 Uhr
Goto Top
.. oder einen Plan auf der Hand zu haben und diesen hier "teilweise" zu veröffentlichen.
Denke aber eher, daß Ihr selber nicht genau wisst.. wie was ablaufen soll... das sollte aber vorhanden sein - sonst kann der Beste MVP auch nicht weiterhelfen ;)

Nice Evening!

Gruss Globe!
Mitglied: Ad39min
Ad39min 20.01.2020 um 21:24:00 Uhr
Goto Top
Hallo,

es hängt natürlich ganz von den Anforderungen ab.

Wenn nichts gegen das Ein-Domänen-Modell spricht, würde ich das so beibehalten.

Beim Fileserver sind wir mit folgendem Prinzip bisher gut gefahren:
1 Fileserver pro Standort, aber ein einheitliches DFS, welches auf die einzelnen Fileserver verweist. Die Nutzer kriegen für's Tauschlaufwerk den DFS-Pfad per GPO eingebunden, Berechtigungen können problemlos nach Bedarf quer vergeben werden.
Nach wie vor würde ich mich streng an das A-G-DL-P Prinzip von Microsoft halten, auch wenn man sich nur in einer Domäne aufhält.

Wie seht ihr das ?

Wie sieht denn eure Geschäftsleitung die Anforderungen?

Gruß
Alex
Mitglied: FIps1845
FIps1845 21.01.2020 um 19:37:41 Uhr
Goto Top
Bezüglich dem Forest würde ich mich den Kollegen anpassen: Wenn kein Forest notwendig, würde ich es lassen. Es bringt Aufwand und Komplexität mit sich, die ich persönlich nur in Kauf nehmen würde, falls wirklich notwendig.

In der Situation die du beschreibst sehe ich da mit den aktuellen Infos keine Notwendigkeit.

Eine mögliche OU Struktur, wenn viele identische Einstellungen für eine Firma aber wenig identische für eine Abteilung, notwendig sind wäre die folgende:

Unternehmensgruppe
..Firma 1
Abt1
Abt2
..Firma 2
..Firma 3

Wenn man mehr übereinstimmende Einstellungen für Abteilungen als für Firmen hat könnte man es auch umdrehen:

Unternehmengruppe
..Abt1
Firma1
Firma2
Firma3
..Abt2

Ergänzend zu den OUs würde Drucker z.B. unabhängig von der FIrma über AD Sites steuern, da sich dies wohl anbieten würde.

Wobei ich die OU Struktur eher separat von den Fileserver Berechtigungen sehen würde. Wenn du jetzt Chaos in deinen Berechtigungen hast würde ich vorschlagen die Daten nicht einfach zu übernehmen, sondern deine Nutzer die Daten umziehen lassen in eine neue Struktur. Ich habe bisher gute Erfahrungen mit dem folgenden Konzept gemacht: Eine Berechtigungsebene auf Root und darunter die Berechtigungen nicht mehr ändern. Wenn andere Berechtigungen benötigt werden, wird ein neuer Ordner auf Root erstellt. Bringt am Anfang ein paar Diskussionen mit sich, aber man kann beruhigt schlafen. In Kombination mit ABE ist es für die meisten Benutzer auch recht übersichtlich.. Für kleine Dokumente (Office Dokumente, PDFs,...) einen zentralen Fileserver und für große Dokumente (Videos, Bilder, CAD, etc.) lokale Fileserver an den Standorten. Ggf. über einen DFS Namespace zusammengefasst, dass jeder User nur einen "Einstiegspunkt" braucht.
Jeder Ordner hat dann einen "Verantwortlichen", in der Regel jemand aus dem Business der den Ordner beantragt hat. Wenn jemand auf den Ordner zugreifen will, muss dieser Verantwortliche den Zugriff freigeben. Dies ließe sich auch automatisieren über z.B. Flow, Sharepoint oder andere Workflow Systeme.

Ich hoffe das hilft dir weiter.
Unabhängig davon wäre ein MVP vor Ort mit dem man das im Detail diskutieren kann sicherlich sinnvoll.