Ich bin Lehrer und unterrichte Active Directory und stelle mir schon länger folgende Frage: Ist es bei der Planung einer neuen AD-Struktur sinnvoll, die Standorte im DIT (Directory Information Tree) als OUs anzulegen? Oder ist das nicht sinnvoll, da man die Standorte ohnehin als Objekte anlegen kann? Was ist hier eine gute Vorgehensweise?
Welche Argumente sprechen für Sites als OUs? Welche Argumente sprechen gegen Sites als OUst?
Antwort1
Normalerweise beschreibt die Konfiguration Ihrer Sites und Subnetze das physische Netzwerk so genau wie möglich, wobei Site-Links beschreiben, wie die einzelnen Sites verbunden sind. Richtig gemacht, kann AD einige ziemlich clevere Entscheidungen darüber treffen, welche DCs für Ihre Authentifizierungen usw. verwendet werden sollen (z. B. welche für eine bestimmte Site übernehmen sollen, wenn diese für einen bestimmten Zeitraum ausfällt). In einem großen Unternehmen kann dies von entscheidender Bedeutung sein. Ein wichtiger Punkt ist, sicherzustellen, dass Sie auch Subnetzobjekte für alle Ihre Subnetze definiert haben, da ein Gerät beim Starten von Windows als Erstes versucht, seinen Standort zu ermitteln. Wenn dies nicht möglich ist, kann jeder DC in Ihrem Netzwerk zur Authentifizierung verwendet werden, was zu einer sehr langsamen Leistung führen kann, wenn Sie einen nicht ausgelasteten DC am anderen Ende eines durchnässten Kabels haben!
Antwort2
Es gibt keine richtige oder falsche Antwort auf die Frage, ob OUs auf der Grundlage eines Standorts oder eines Organigramms erstellt werden sollen. Sogar eine Kombination aus beidem kann funktionieren. Die Antwort hängt zu 100 % von den Anforderungen der Organisation ab. Vertrauen Sie mir, wenn ich sage, dass nicht jeder mit dem Layout, das Sie wählen, zufrieden sein wird. Meiner Meinung nach sollten OUs in erster Linie zur Delegation von Administratorrechten erstellt werden. Die OUs können die Verantwortung für die AD-Objekte aufteilen, wenn Sie auch eine Sicherheitsgruppe erstellen und die Kontrolle über die OU an diese Gruppe delegieren. Damit ist das größte Problem gelöst, nämlich zu wissen, wer was verwaltet.
Andere typische Gründe für die Erstellung von OUs, wie das Anwenden von GPOs oder das Identifizieren des geografischen Standorts von Objekten, können auf einfachere Weise erreicht werden. GPOs können mithilfe von WMI-Filtern, Sicherheitsgruppenfilterung oder durch Verknüpfung mit AD-Sites angewendet werden. Erstellen Sie keine OU nur, um ein GPO anzuwenden, es sei denn, dieses GPO dient der Auffüllung lokaler Administratorgruppen über eingeschränkte Gruppen (kleiner Hinweis). Der physische Standort von Objekten sollte in Attributen für jedes Objekt gespeichert werden. Fragen Sie diese Attribute ab, wenn Sie wissen möchten, in welcher Stadt oder in welchem Gebäude sich dieser Benutzer oder Computer befindet. Sie haben wenig Kontrolle über Personen, die von einem Ort zum anderen ziehen, und deshalb können standortbasierte OU-Strukturen Ihnen nicht gut sagen, wo sich etwas physisch befindet. Natürlich können die Attribute irgendwann auch falsch sein, aber das Aktualisieren eines Attributs hat weniger Auswirkungen als das Ändern von OUs.
Antwort3
Active Directory bietet Ihnen eine Möglichkeit, die logische Topologie von der physischen Topologie zu trennen.
Sie können mehrere Standorte mit Domänencontrollern in jedem davon definieren. Standorte werden IP-Subnetzen zugeordnet, und jeder Computer in der Domäne kann den „nächsten“ Domänencontroller anhand seines IP-Subnetzes suchen. Sie können auch die AD-Informationsreplikation zwischen Standorten verwalten.
Sie sollten diesen Vorteil unbedingt nutzen, da AD standortübergreifend und standortresistent strukturiert ist.
TL;DR: Du solltestnichtOrdnen Sie Ihre physischen Standorte OUs zu und verwenden Sie nicht mehrere Domänen. AD ist durchaus in der Lage, mehrere Standorte zu verwalten. Mehrere Domänen oder standortspezifische OUs sind hierfür definitiv nicht erforderlich.
Mehr Infos hier:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/understanding-active-directory-site-topology