In diesem Beitrag möchte ich dir ein paar Tipps geben, worauf du bei der Strukturierung und Benennung deines ADs achten solltest, um spätere Konflikte zu vermeiden. Daher bekommst du nun meine Tipps für die Namenskonventionen und OU-Struktur für dein Active Directory.

Active-Directory Domain-Services ermöglicht es, Organisationen eine skalierbare und sichere Infrastruktur für das Verwalten von Nutzern und Ressourcen aufzubauen. Damit alle Vorteile dieses Dienstes ausgeschöpft werden können, ist es wichtig eine wohlüberlegte Struktur zu pflegen. 

Ein wohlüberlegtes AD-Design bietet folgende Vorteile:

  • Vereinfachte Verwaltung von Microsoft Windows basierenden Netzwerken
  • Sorgt für zusammengefasste Struktur, die zu reduziertem Administrationsaufwand führt und Kosten senken kann
  • Ermöglicht es, Administrative Kontrolle an die Verantwortlichen abzugeben.
  • Verringerte Netzwerkauslastung
  • Vereinfacht das Teilen von Ressourcen

Ein gutes Design erleichtert erheblich die Verwaltung und das Troubleshooting. Des Weiteren ist es so deutlich leichter eine gute Struktur für Gruppenrichtlinien zu entwerfen.

Eine wohlüberlegte Struktur bietet die Möglichkeit die Rechte möglichst einfach zu delegieren. Beispielsweise, ist es dadurch möglich den Helpdesk so zu berechtigen, dass er die Passwörter der Nutzer zurückzusetzen, nicht aber neue Admin-Accounts hinzufügen darf.

Um sicher zu gehen, dass wir von den gleichen Objekten sprechen, möchte ich noch ein paar Begriffe klären, bevor es dann richtig los geht.

Container sind vordefinierte Active Directory Objekte. Sie können nicht gelöscht werden und werden in der Datenbank mit CN= definiert. Das Anwenden von Gruppenrichtlinien auf Container ist nicht möglich.

Organizational Units (Organisationseinheiten/ OUs) sind vergleichbar mit Ordnern im Windows Explorer. Diese OUs dienen der Strukturierung innerhalb einer Domain und enthalten dann die User, Gruppen und Gruppenrichtlinien etc.

Domäne: Eine AD-Domäne ist eine Ansammlung von Objekten, wie Benutzer und Hardwaregeräten, die sich Richtlinien und eine gemeinsame Datenbank teilen. Domänen enthalten Identifizierungsangaben zu diesen Objekten und haben einen eigenen und eindeutigen DNS-Namen. Eine Gruppenrichtlinie kann für die gesamte Domäne gelten oder auch nur für Subbereiche, die OUs (Organizational Units = Organisationseinheiten) genannt werden.

Domänenbäume: Mehrere AD-Domänen in einer einzelnen Gruppe werden Domänenbäume genannt. Sie haben eine Netzwerkkonfiguration, ein Schema und einen gemeinsamen globalen Katalog. Domänenbäume funktionieren nach dem Vertrauensprinzip: Kommt eine neue Domäne zum Domänenbaum hinzu, gilt sie bei den anderen Domänen der Gruppe automatisch als vertrauenswürdig.

Domänenwald (AD-Forest = Gesamtstruktur): Ein Domänenwald oder Forest ist eine Gruppe von Domänenbäumen, die eine einzelne Datenbank teilen. Dies stellt die Spitze der organisatorischen Hierarchie im Active Directory dar. Hierbei ist zu bedenken, dass die Administratoren einer Gesamtstruktur nicht auf andere Gesamtstrukturen zugreifen können.

Zurück zu den Best-Practices
Es ist sehr empfehlenswert, nichts an Standard-OUs / Standard-Containers etwas zu verändern. Daher sollte man als Erstes bei der Strukturierung eine eigene OU, benannt nach dem Firmen- oder Domänennamen anlegen. Dadurch kann man dann auch viele Probleme abfangen, die bei der Platzierung von Gruppenrichtlinien entstehen würden. Erst unterhalb dieser eigenen OU fängt man dann an seine eigene Struktur abzubilden. Diese Struktur muss nicht der Firmenstruktur entsprechen!! Active Directory ist ein Werkzeug zum Verwalten von Ressourcen, daher sollte die Struktur so gestaltet sein, dass sich diese Ressourcen am besten Verwalten lassen.

Beim Entwurf der Struktur ist es wichtig, zu wissen, welche Gemeinsamkeiten die meisten Ressourcen haben werden.

Diese beginnt man, in immer feiner werdenden Schritten, abzubilden.

BSPW: FIRMA –>  Computer –> Win10 –> PCs ohne Sperrbildschirm

Wenn Objekte innerhalb einer OU gleiche Eigenschaften und Rechte haben, ist es möglich Aufgaben zu automatisieren, wobei auch hier einheitliche Namenskonventionen eine sehr wichtige Rolle spielen.

Tipp1: Erstellen einer OU nach Firmennamen, um Standards unberührt zu belassen und trotzdem eine Übersichtliche Struktur zu erstellen.

Tipp2: User von Geräten trennen. Dies bedeutet, man sollte einen separaten OU-Baum für Users und einen für Geräte (Server, PCs, IOT) aufbauen.

Tipp3: Standardisierte Namenskonventionen verwenden: Namen für PCs, User, Gruppen werden nach einem festgelegten Muster gebildet. Ein Gerätename könnte beispielsweise so aufgebaut sein:
TYP-Stadt-Zahl = NB-Jena-01

Grouping

IGDLP-Rule

Identities goes in Global Groups, that are nested in Domain-local Groups, that granted Permissions!

Dies bedeutet man fügt Benutzer einer Globalen Gruppe hinzu. Diese Globale Gruppe ist wiederum Mitglied einer Domain-lokalen Gruppe. Nur dieser Domain-lokalen Gruppe werden dann die Berechtigungen für die Dateifreigaben, Anwendung oder whatever zugewiesen.

Was sind Active Directory-Gruppenbereiche?

„Gruppenbereich“ ist der Begriff, mit dem die unterschiedlichen Berechtigungsstufen jeder Sicherheitsgruppe kategorisiert werden. Microsoft unterscheidet im AD zwischen drei Hauptbereichen:

Universal: Einer universalen Sicherheitsgruppe können Mitglieder aus jeder beliebigen anderen Domäne hinzugefügt werden. Diese Gruppen werden häufig verwendet, um Rollen zu definieren und Berechtigungen in derselben Gesamtstruktur oder in vertrauenswürdigen Gesamtstrukturen zu verwalten.

Global: Bei globalen Gruppen geht es meistens um die Kategorisierung von Benutzern anhand ihrer geschäftlichen Zuständigkeiten. Benutzer haben in der Regel ähnliche Anforderungen an den Netzwerkzugriff. Diese Gruppe kann Zugriffsberechtigungen auf Ressourcen in allen Domänen erteilen.

Domänenlokal: Diese Gruppierung kann überall in der Domäne angewandt werden und wird häufig zur Erteilung von Zugriffsberechtigungen auf Ressourcen verwendet. Beachten Sie: Sie können diese Zugriffsberechtigungen nur in der Domäne erteilen, in der die lokale Domänengruppe eingerichtet wurde.

Wenn du einer Gruppe ein Benutzerkonto hinzufügst, entfällt der Verwaltungsaufwand für die Bearbeitung des Benutzerzugriffs von Einzelpersonen. Gruppen können auch Mitglieder anderer Gruppen sein, was gemeinhin als Gruppenverschachtelung bezeichnet wird. Das Verschachteln ist eine hilfreiche Methode zum Verwalten Ihres Active Directory basierend auf Geschäftsrollen, Funktionen und Management-Regeln.

Die praktische Umsetzung dieses Wissens werde ich dann in den kommenden Videos zeigen. Im nächsten Video dieser Videoreihe wird es dann darum gehen, wie man Benutzeraccounts erstellt. Ich danke dir für deine Aufmerksamkeit und würde mich darüber freuen, wenn du mir über die Kommentare mitteilst, wie hilfreich für dich dieses Video zur Planung deiner AD-Struktur war.

Hast du weitere Tipps mit Namenskonventionen und OU-Struktur für ein Active Directory? Dann diskutiere mit uns auf ITLurl.de/communityPlattform

Ähnliche Beiträge

Active Directory: ein Einstieg

VonPhilipp

Nahezu alle Unternehmen, egal ob aus dem Mittelstand oder Konzerngröße mit mehreren tausend Mitarbeitern setzen zur zentralen Verwaltung von Unternehmensressourcen und zur Berechtigungsverwaltung auf Active Directory (AD). Aus diesem Grund ist es für eine Karriere im IT-Support oder in der IT-Administration essentiell ein Grundverständnis für Active Directory zu haben. Des Weiteren lässt sich der Administrative…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert