Was sind Active Directory-Domänendienste und wie funktioniert es?


144

Dies ist eine kanonische Frage zu Active Directory-Domänendiensten (AD DS).

Was ist Active Directory? Was macht es und wie funktioniert es?

Wie ist Active Directory organisiert: Gesamtstruktur, untergeordnete Domäne, Struktur, Standort oder Organisationseinheit


Ich erkläre fast täglich, was meiner Meinung nach allgemein bekannt ist. Diese Frage wird hoffentlich als kanonische Frage und Antwort für die meisten grundlegenden Active Directory-Fragen dienen. Wenn Sie der Meinung sind, dass Sie die Antwort auf diese Frage verbessern können, bearbeiten Sie sie bitte.


7
Ich möchte nicht so aussehen, als wäre ich eine Rep-Hure, aber ich denke, es lohnt sich, einen Link
Evan Anderson

Mögliche Links für diese Frage: serverfault.com/questions/568606/… - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878/… um nur einige zu nennen . Vielleicht ist eine kanonische in Ordnung @ DMARRA
TheCleaner

Antworten:


153

Was ist Active Directory?

Active Directory Domain Services ist der Directory Server von Microsoft. Es bietet Authentifizierungs- und Autorisierungsmechanismen sowie einen Rahmen, in dem andere verwandte Dienste bereitgestellt werden können (AD Certificate Services, AD Federated Services usw.). Es ist eine LDAP- kompatible Datenbank, die Objekte enthält. Die am häufigsten verwendeten Objekte sind Benutzer, Computer und Gruppen. Diese Objekte können nach einer beliebigen Anzahl logischer oder geschäftlicher Anforderungen in Organisationseinheiten (OUs) organisiert werden. Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) können dann mit Organisationseinheiten verknüpft werden, um die Einstellungen für verschiedene Benutzer oder Computer in einer Organisation zu zentralisieren.

Wenn Leute "Active Directory" sagen, beziehen sie sich normalerweise auf "Active Directory-Domänendienste". Es ist wichtig zu beachten, dass es andere Active Directory-Rollen / -Produkte gibt, z. B. Zertifikatdienste, Verbunddienste, Lightweight Directory-Dienste, Rechteverwaltungsdienste usw. Diese Antwort bezieht sich speziell auf Active Directory-Domänendienste.

Was ist eine Domain und was ist ein Wald?

Ein Wald ist eine Sicherheitsgrenze. Objekte in separaten Gesamtstrukturen können nicht miteinander interagieren, es sei denn, die Administratoren der einzelnen Gesamtstrukturen stellen eine Vertrauensstellung zwischen ihnen her. Ein Enterprise-Administratorkonto für domain1.com, das normalerweise das privilegierteste Konto einer Gesamtstruktur ist, verfügt beispielsweise über keinerlei Berechtigungen in einer zweiten Gesamtstruktur mit dem Namen domain2.com, selbst wenn diese Gesamtstrukturen im selben LAN vorhanden sind, es sei denn, es besteht eine Vertrauensstellung .

Wenn Sie über mehrere nicht zusammenhängende Geschäftseinheiten verfügen oder separate Sicherheitsgrenzen benötigen, benötigen Sie mehrere Gesamtstrukturen.

Eine Domain ist eine Verwaltungsgrenze. Domänen sind Teil eines Waldes. Die erste Domäne in einer Gesamtstruktur wird als Gesamtstruktur-Stammdomäne bezeichnet. In vielen kleinen und mittleren Organisationen (und sogar einigen großen) finden Sie nur eine einzige Domäne in einer einzigen Gesamtstruktur. Die Gesamtstruktur-Stammdomäne definiert den Standardnamespace für die Gesamtstruktur. Wenn beispielsweise die erste Domäne in einer neuen Gesamtstruktur benannt domain1.comwird, ist dies die Gesamtstruktur-Stammdomäne. Wenn Sie geschäftlich eine untergeordnete Domäne benötigen, beispielsweise eine Zweigstelle in Chicago, können Sie die untergeordnete Domäne benennen chi. Der FQDN der untergeordneten Domäne wärechi.domain1.com. Sie können sehen, dass dem Namen der untergeordneten Domäne der Name der Gesamtstruktur-Stammdomäne vorangestellt wurde. Das funktioniert normalerweise so. Sie können disjunkte Namespaces in derselben Gesamtstruktur haben, dies ist jedoch eine separate Dose Würmer für eine andere Zeit.

In den meisten Fällen möchten Sie versuchen, alles Mögliche zu tun, um eine einzige AD-Domäne zu haben. Es vereinfacht die Verwaltung, und moderne Versionen von AD vereinfachen das Delegieren der Steuerung auf der Grundlage von Organisationseinheiten, wodurch weniger untergeordnete Domänen erforderlich sind.

Ich kann meine Domain beliebig benennen, oder?

Nicht wirklich. dcpromo.exeist das Tool, das die Heraufstufung eines Servers zu einem Domänencontroller verwaltet, nicht idiotensicher. Sie können dann mit Ihrer Benennung falsche Entscheidungen treffen. Wenn Sie sich nicht sicher sind, lesen Sie diesen Abschnitt. (Bearbeiten: dcpromo ist in Server 2012 veraltet . Verwenden Sie das Install-ADDSForestPowerShell-Cmdlet oder installieren Sie AD DS über den Server-Manager.)

Verwenden Sie zunächst keine erfundenen TLDs wie .local, .lan, .corp oder irgendetwas anderes. Diese TLDs sind nicht reserviert. ICANN verkauft jetzt TLDs, sodass Ihre TLDs, mycompany.corpdie Sie heute verwenden, möglicherweise morgen jemandem gehören. Wenn Sie besitzen mycompany.com, ist es klug, etwas wie internal.mycompany.comoder ad.mycompany.comfür Ihren internen AD-Namen zu verwenden. Wenn Sie mycompany.comeine extern auflösbare Website verwenden, sollten Sie vermeiden, diese auch als internen AD-Namen zu verwenden, da Sie am Ende ein Split-Brain-DNS haben.

Domänencontroller und globale Kataloge

Ein Server, der auf Authentifizierungs- oder Autorisierungsanforderungen reagiert, ist ein Domänencontroller. In den meisten Fällen verfügt ein Domänencontroller über eine Kopie des globalen Katalogs . Ein globaler Katalog (Global Catalog, GC) ist eine Teilmenge von Objekten in allen Domänen einer Gesamtstruktur. Es ist direkt durchsuchbar, was bedeutet, dass domänenübergreifende Abfragen normalerweise auf einem GC ausgeführt werden können, ohne dass ein Verweis auf einen Domänencontroller in der Zieldomäne erforderlich ist. Wenn auf Port 3268 ein DC abgefragt wird (3269 bei Verwendung von SSL), wird der GC abgefragt. Wenn Port 389 (bei Verwendung von SSL 636) abgefragt wird, wird eine Standard-LDAP-Abfrage verwendet und Objekte, die in anderen Domänen vorhanden sind, erfordern möglicherweise eine Verweisung .

Wenn ein Benutzer versucht, sich mit seinen AD-Anmeldeinformationen bei einem Computer anzumelden, der mit AD verbunden ist, werden die gesalzene und gehashte Kombination aus Benutzername und Kennwort sowohl für das Benutzerkonto als auch für das angemeldete Computerkonto an den Domänencontroller gesendet Computer meldet sich auch an. Dies ist wichtig, da beim Zurücksetzen oder Löschen des Kontos eines Computerkontos in AD möglicherweise eine Fehlermeldung angezeigt wird, die besagt, dass zwischen dem Computer und der Domäne keine Vertrauensbeziehung besteht. Obwohl Ihre Netzwerkanmeldeinformationen in Ordnung sind, wird dem Computer nicht mehr vertraut, dass er sich bei der Domäne anmeldet.

Bedenken hinsichtlich der Verfügbarkeit von Domänencontrollern

Ich höre "Ich habe einen primären Domänencontroller (PDC) und möchte einen Backup-Domänencontroller (BDC) installieren" viel häufiger, als ich glauben möchte. Das Konzept der PDCs und BDCs ist mit Windows NT4 zum Erliegen gekommen. Die letzte Bastion für PDCs befand sich in einem gemischten Windows 2000-Übergangsmodus, als es noch NT4-DCs gab. Grundsätzlich verfügen Sie nur über zwei Domänencontroller, es sei denn, Sie unterstützen eine mehr als 15 Jahre alte Installation, für die noch kein Upgrade durchgeführt wurde.

Mehrere Domänencontroller können gleichzeitig Authentifizierungsanforderungen von verschiedenen Benutzern und Computern beantworten. Wenn einer ausfällt, bieten die anderen weiterhin Authentifizierungsdienste an, ohne dass Sie einen "primären" Dienst einrichten müssen, wie Sie es in den NT4-Tagen getan hätten. Es wird empfohlen, mindestens zwei Domänencontroller pro Domäne zu haben. Diese Domänencontroller sollten sowohl eine Kopie des GC als auch DNS-Server enthalten, die auch eine Kopie der Active Directory Integrated DNS-Zonen für Ihre Domäne enthalten.

FSMO-Rollen

"Wenn es also keine PDCs gibt, warum gibt es dann eine PDC-Rolle, die nur ein einzelner DC haben kann?"

Ich höre das sehr. Es gibt eine PDC-Emulatorrolle . Es ist anders als ein PDC zu sein. Tatsächlich gibt es 5 Flexible Single Master Operations-Rollen (FSMO) . Diese werden auch als Operations Master-Rollen bezeichnet. Die beiden Begriffe sind austauschbar. Was sind sie und was machen sie? Gute Frage! Die 5 Rollen und ihre Funktion sind:

Domain Naming Master - Es gibt nur einen Domain Naming Master pro Gesamtstruktur. Der Domänennamen-Master stellt sicher, dass eine neue Domäne eindeutig ist, wenn sie zu einer Gesamtstruktur hinzugefügt wird. Wenn der Server, der diese Rolle innehat, offline ist, können Sie den AD-Namespace nicht ändern, z. B. indem Sie neue untergeordnete Domänen hinzufügen.

Schemamaster - In einer Gesamtstruktur gibt es nur einen Schemamaster. Es ist für die Aktualisierung des Active Directory-Schemas verantwortlich. Für Aufgaben, die dies erfordern, z. B. die Vorbereitung von AD für eine neue Version von Windows Server als Domänencontroller oder die Installation von Exchange, sind Schemaänderungen erforderlich. Diese Änderungen müssen über den Schemamaster vorgenommen werden.

Infrastruktur-Master - Pro Domäne gibt es einen Infrastruktur-Master. Wenn Sie nur eine Domain in Ihrer Gesamtstruktur haben, müssen Sie sich darüber keine Gedanken machen. Wenn Sie über mehrere Gesamtstrukturen verfügen, sollten Sie sicherstellen, dass diese Rolle nicht von einem Server übernommen wird, der auch als GC-Inhaber fungiert, es sei denn, jeder Domänencontroller in der Gesamtstruktur ist ein GC . Der Infrastruktur-Master ist dafür verantwortlich, dass domänenübergreifende Verweise ordnungsgemäß behandelt werden. Wenn ein Benutzer in einer Domäne zu einer Gruppe in einer anderen Domäne hinzugefügt wird, stellt der Infrastrukturmaster für die betreffenden Domänen sicher, dass er ordnungsgemäß behandelt wird. Diese Rolle funktioniert nicht ordnungsgemäß, wenn sie sich in einem globalen Katalog befindet.

RID-Master - Der relative ID-Master (RID-Master) ist für die Ausgabe von RID-Pools an DCs verantwortlich. Es gibt einen RID-Master pro Domain. Jedes Objekt in einer AD-Domäne verfügt über eine eindeutige Sicherheitskennung (SID).. Dies setzt sich aus einer Kombination der Domänenkennung und einer relativen Kennung zusammen. Jedes Objekt in einer bestimmten Domäne hat dieselbe Domänenkennung, sodass Objekte durch die relative Kennung eindeutig werden. Jeder Domänencontroller verfügt über einen Pool relativer IDs. Wenn dieser Domänencontroller ein neues Objekt erstellt, hängt er eine RID an, die er noch nicht verwendet hat. Da Domänencontroller nicht überlappende Pools erhalten, sollte jede RID für die Dauer der Lebensdauer der Domäne eindeutig bleiben. Wenn ein Domänencontroller noch ~ 100 RIDs in seinem Pool hat, fordert er einen neuen Pool vom RID-Master an. Wenn der RID-Master über einen längeren Zeitraum offline ist, schlägt die Objekterstellung möglicherweise fehl.

PDC-Emulator - Schließlich kommen wir zu der am häufigsten missverstandenen Rolle von allen, der PDC-Emulator-Rolle. Es gibt einen PDC-Emulator pro Domäne. Wenn ein Authentifizierungsversuch fehlschlägt, wird er an den PDC-Emulator weitergeleitet. Der PDC-Emulator fungiert als "Tie-Breaker", wenn ein Kennwort auf einem DC aktualisiert wurde und noch nicht auf die anderen repliziert wurde. Der PDC-Emulator ist auch der Server, der die Zeitsynchronisierung in der gesamten Domäne steuert. Alle anderen DCs synchronisieren ihre Zeit vom PDC-Emulator. Alle Clients synchronisieren ihre Zeit von dem DC, bei dem sie sich angemeldet haben. Es ist wichtig, dass alles innerhalb von 5 Minuten zueinander bleibt, da sonst Kerberos kaputt geht und dann alle weinen.

Beachten Sie, dass die Server, auf denen diese Rollen ausgeführt werden, nicht in Stein gemeißelt sind. Normalerweise ist es trivial, diese Rollen zu verschieben. Während einige Domänencontroller etwas mehr als andere tun, funktioniert normalerweise alles normal, wenn sie für kurze Zeit ausfallen. Wenn sie für längere Zeit nicht verfügbar sind, ist es einfach, die Rollen transparent zu übertragen. Es ist viel schöner als die NT4 PDC / BDC-Tage, also hören Sie bitte auf, Ihre DCs nach diesen alten Namen zu benennen. :)

Also, ähm ... wie teilen die DCs Informationen, wenn sie unabhängig voneinander funktionieren können?

Replikation natürlich . Standardmäßig replizieren Domänencontroller, die zu derselben Domäne am selben Standort gehören, ihre Daten in Intervallen von 15 Sekunden. Dies stellt sicher, dass alles relativ aktuell ist.

Es gibt einige "dringende" Ereignisse, die eine sofortige Replikation auslösen. Diese Ereignisse sind: Ein Konto wird für zu viele fehlgeschlagene Anmeldungen gesperrt, das Domänenkennwort oder die Sperrrichtlinien werden geändert, das LSA-Geheimnis wird geändert, das Kennwort für das Computerkonto eines Domänencontrollers wird geändert oder die RID-Masterrolle wird übertragen zu einem neuen DC. Jedes dieser Ereignisse löst ein sofortiges Replikationsereignis aus.

Passwortänderungen liegen zwischen dringend und nicht dringend und werden eindeutig gehandhabt. Wenn das Kennwort eines Benutzers geändert wird DC01und ein Benutzer versucht, sich bei einem Computer anzumelden, für den die Authentifizierung ausgeführt wird, DC02bevor die Replikation stattfindet, ist dies wahrscheinlich nicht erfolgreich, oder? Zum Glück passiert das nicht. Angenommen, es gibt hier auch einen dritten DC mit DC03der Rolle des PDC-Emulators. Wenn DC01mit dem neuen Kennwort des Benutzers aktualisiert wird, wird diese Änderung sofort auch auf repliziert DC03. Wenn der Authentifizierungsversuch DC02fehlschlägt, DC02wird dieser Authentifizierungsversuch an weitergeleitet DC03, wodurch überprüft wird, ob er tatsächlich funktioniert und die Anmeldung zulässig ist.

Reden wir über DNS

DNS ist entscheidend für ein ordnungsgemäß funktionierendes AD. Die offizielle Microsoft-Party-Line besagt, dass jeder DNS-Server verwendet werden kann, wenn er ordnungsgemäß eingerichtet ist. Wenn Sie versuchen, BIND zum Hosten Ihrer AD-Zonen zu verwenden, sind Sie hoch. Ernsthaft. Bleiben Sie bei der Verwendung von AD Integrated DNS-Zonen und verwenden Sie gegebenenfalls bedingte oder globale Weiterleitungen für andere Zonen. Ihre Clients sollten alle so konfiguriert sein, dass sie Ihre AD-DNS-Server verwenden. Daher ist Redundanz hier wichtig. Wenn Sie zwei Domänencontroller haben, lassen Sie beide DNS ausführen und konfigurieren Sie Ihre Clients so, dass beide für die Namensauflösung verwendet werden.

Außerdem sollten Sie sicherstellen, dass bei mehreren Domänencontrollern diese sich nicht zuerst für die DNS-Auflösung auflisten. Dies kann zu einer Situation führen, in der sie sich auf einer "Replikationsinsel" befinden, auf der sie von der übrigen AD-Replikationstopologie getrennt sind und nicht wiederhergestellt werden können. Wenn Sie zwei Server DC01 - 10.1.1.1und haben DC02 - 10.1.1.2, sollte die DNS-Serverliste folgendermaßen konfiguriert sein:

Server: DC01 (10.1.1.1)
Primärer DNS - 10.1.1.2
Sekundärer DNS - 127.0.0.1

Server: DC02 (10.1.1.2)
Primärer DNS - 10.1.1.1
Sekundärer DNS - 127.0.0.1

OK, das scheint kompliziert zu sein. Warum möchte ich AD überhaupt verwenden?

Denn sobald Sie wissen, was Sie tun, wird Ihr Leben unendlich besser. AD ermöglicht die Zentralisierung der Benutzer- und Computerverwaltung sowie die Zentralisierung des Ressourcenzugriffs und der Ressourcennutzung. Stellen Sie sich eine Situation vor, in der Sie 50 Benutzer in einem Büro haben. Wenn Sie möchten, dass jeder Benutzer ein eigenes Login für jeden Computer hat, müssen Sie auf jedem PC 50 lokale Benutzerkonten konfigurieren. Mit AD müssen Sie das Benutzerkonto nur einmal erstellen und es kann sich standardmäßig bei jedem PC in der Domäne anmelden. Wenn Sie die Sicherheit verbessern möchten, müssen Sie dies 50 Mal tun. Ein Albtraum, oder? Stellen Sie sich auch vor, Sie haben eine Dateifreigabe, auf die nur die Hälfte dieser Personen zugreifen soll. Wenn Sie AD nicht verwenden, müssen Sie entweder den Benutzernamen und die Kennwörter von Hand auf dem Server replizieren, um scheinbaren Zugriff zu erhalten, oder Sie d müssen ein gemeinsames Konto erstellen und jedem Benutzer den Benutzernamen und das Passwort geben. Eine Möglichkeit bedeutet, dass Sie die Passwörter der Benutzer kennen (und ständig aktualisieren müssen). Der andere Weg bedeutet, dass Sie keinen Audit-Trail haben. Nicht gut, oder?

Sie haben auch die Möglichkeit, Gruppenrichtlinien zu verwenden, wenn Sie AD eingerichtet haben. Gruppenrichtlinien sind eine Reihe von Objekten, die mit Organisationseinheiten verknüpft sind und Einstellungen für Benutzer und / oder Computer in diesen Organisationseinheiten definieren. Wenn Sie beispielsweise festlegen möchten, dass "Herunterfahren" für 500 Labor-PCs nicht im Startmenü angezeigt wird, können Sie dies in einer Einstellung in den Gruppenrichtlinien tun. Anstatt Stunden oder Tage damit zu verbringen, die richtigen Registrierungseinträge manuell zu konfigurieren, erstellen Sie ein Gruppenrichtlinienobjekt einmal, verknüpfen es mit der richtigen Organisationseinheit oder den richtigen Organisationseinheiten und müssen nie wieder darüber nachdenken. Es gibt Hunderte von Gruppenrichtlinienobjekten, die konfiguriert werden können, und die Flexibilität der Gruppenrichtlinien ist einer der Hauptgründe dafür, dass Microsoft auf dem Unternehmensmarkt eine so große Rolle spielt.


20
Gut gemacht, Mark. Ehrfürchtige QA.
EEAA

12
@TheCleaner Einverstanden, aber Teil der Mission von Stack Exchange ist es, das zentrale Repository für alle nützlichen Informationen zu einem bestimmten Thema zu sein. Während die Informationen auf Wikipedia in der Regel sehr korrekt und relevant sind, treiben sie die Leute nicht hierher, und "hier" sollte die zentrale Anlaufstelle für alles sein, was mit Systemverwaltung zu tun hat.
MDMarra

6
@ RyanBolger Das ist alles wahr, aber diese Fragen und Antworten richten sich an Neulinge. Die Supportfähigkeit ist ein großes Problem , und Microsoft hilft Ihnen keinesfalls dabei, ein AD-Problem zu beheben, das mit DNS in Zusammenhang stehen könnte, wenn Sie BIND (oder etwas anderes) ausführen. Es ist eine erweiterte Konfiguration, die nicht für Personen empfohlen wird, die die Frage "Was ist AD und wie funktioniert es?" Stellen müssen. Darüber hinaus spielt DNS eine Rolle mit geringer Auslastung. Wenn Sie bereits über Domänencontroller verfügen, ist es wirklich schwierig, zu verhindern, dass DNS auf ihnen ausgeführt wird, und einen globalen Forwarder für den Rest Ihrer DNS-Infrastruktur bereitzustellen.
MDMarra,

8
@ RyanBolger - mit MDMarra vereinbart. Wenn Fred bereits über eine gut funktionierende und komplexe interne DNS-Infrastruktur verfügt, würde Fred nicht auf SF posten und fragen: "Also, ich werde diese Active Directory-Sache installieren - bitte erzählen Sie mir alles darüber?"
Mfinni

2
Ihre Antwort hat mich nur daran erinnert, die Suchreihenfolge des DNS-Servers auf den Domänencontrollern eines von mir geerbten Netzwerks zu überprüfen ... Ja, sie beziehen sich auf sich selbst!
myron-semack

20

Hinweis: Diese Antwort wurde aus einer anderen Frage zu den Unterschieden zwischen Gesamtstrukturen, untergeordneten Domänen, Bäumen, Standorten und Organisationseinheiten in diese Frage eingefügt. Dies wurde ursprünglich nicht als Antwort auf diese spezielle Frage geschrieben.


Wald

Sie möchten eine neue Gesamtstruktur erstellen, wenn Sie eine Sicherheitsgrenze benötigen. Möglicherweise verfügen Sie über ein Umkreisnetzwerk (DMZ), das Sie mit AD verwalten möchten. Aus Sicherheitsgründen soll das interne AD jedoch nicht im Umkreisnetzwerk verfügbar sein. In diesem Fall möchten Sie eine neue Gesamtstruktur für diese Sicherheitszone erstellen. Möglicherweise möchten Sie diese Trennung auch, wenn Sie mehrere Entitäten haben, die sich nicht vertrauen - zum Beispiel ein Shell-Unternehmen, das einzelne Unternehmen umfasst, die unabhängig voneinander operieren. In diesem Fall soll jede Entität eine eigene Gesamtstruktur haben.


Untergeordnete Domäne

Wirklich, Sie brauchen diese nicht mehr. Es gibt nur wenige gute Beispiele dafür, wann Sie eine untergeordnete Domäne möchten. Ein älterer Grund liegt in den unterschiedlichen Anforderungen an Kennwortrichtlinien. Diese sind jedoch nicht mehr gültig, da seit Server 2008 differenzierte Kennwortrichtlinien verfügbar sind. Sie benötigen eine untergeordnete Domäne nur dann, wenn Sie Gebiete mit einer unglaublich schlechten Netzwerkkonnektivität haben und dies wünschen Um den Replikationsverkehr drastisch zu reduzieren, ist ein Kreuzfahrtschiff mit Satelliten-WAN-Konnektivität ein gutes Beispiel. In diesem Fall kann jedes Kreuzfahrtschiff eine eigene untergeordnete Domäne sein, so dass es relativ eigenständig ist und dennoch die Vorteile nutzen kann, dass es sich in derselben Gesamtstruktur befindet wie andere Domänen desselben Unternehmens.


Baum

Das ist ein seltsamer Ball. Neue Strukturen werden verwendet, wenn Sie die Verwaltungsvorteile einer einzelnen Gesamtstruktur beibehalten möchten, aber eine Domäne in einem neuen DNS-Namespace haben möchten. Zum Beispiel corp.example.comkann es sich um die Gesamtstrukturwurzel handeln, aber Sie könnten ad.mdmarra.comin derselben Gesamtstruktur einen neuen Baum verwenden. Hier gelten die gleichen Regeln und Empfehlungen für untergeordnete Domänen - gehen Sie sparsam damit um. In modernen Werbeanzeigen werden sie normalerweise nicht benötigt.


Seite? ˅

Ein Standort sollte eine physische oder logische Grenze in Ihrem Netzwerk darstellen. Zum Beispiel Zweigstellen. Mithilfe von Standorten werden Replikationspartner für Domänencontroller in verschiedenen Bereichen intelligent ausgewählt. Ohne die Definition von Standorten werden alle Domänencontroller so behandelt, als befänden sie sich am selben physischen Standort und werden in einer Maschentopologie repliziert. In der Praxis werden die meisten Organisationen logisch in einem Hub-and-Spoke konfiguriert. Daher sollten Standorte und Dienste so konfiguriert werden, dass dies berücksichtigt wird.

Andere Anwendungen verwenden ebenfalls Sites und Dienste. DFS verwendet es für Namespace-Verweise und die Auswahl von Replikationspartnern. Exchange und Outlook verwenden es, um den "nächstgelegenen" abzufragenden globalen Katalog zu finden. Ihre Computer mit Domänenbeitritt verwenden sie, um die "nächsten" Domänencontroller zu finden, bei denen eine Authentifizierung erfolgen soll. Ohne dies ist Ihr Replikations- und Authentifizierungsverkehr wie im Wilden Westen.


Organisationseinheit

Diese sollten so erstellt werden, dass sie dem Bedarf Ihrer Organisation nach Delegierung von Berechtigungen und Anwendung von Gruppenrichtlinien entsprechen. Viele Organisationen haben eine Organisationseinheit pro Standort, weil sie das Gruppenrichtlinienobjekt auf diese Weise anwenden. Das ist albern, weil Sie das Gruppenrichtlinienobjekt auch von Standorten und Diensten aus auf einen Standort anwenden können. Andere Organisationen trennen Organisationseinheiten nach Abteilung oder Funktion. Dies ist für viele Menschen sinnvoll, aber das OU-Design sollte wirklich Ihren Anforderungen entsprechen und ist ziemlich flexibel. Es gibt keine "Einbahnstraße", um das zu tun.

Ein internationales Unternehmen kann Top-Level - OUs von North America, Europe, Asia, South America, Africaso dass sie über Administratorrechte auf Basis von Kontinent delegieren. Andere Organisationen können Top-Level - OUs von haben Human Resources, Accounting, Sales, usw. , wenn diese mehr Sinn für sie macht. Andere Organisationen haben nur minimale Richtlinienanforderungen und verwenden ein "flaches" Layout mit nur Employee Usersund Employee Computers. Hier gibt es wirklich keine richtige Antwort, es ist das, was Ihren Unternehmensanforderungen entspricht.


1
Jemand kennt seine AD ziemlich genau. +1
NickW

3
@ NickW AD Fragen sind, woher 72k meiner 72,9k Repräsentanten wahrscheinlich gekommen sind: D
MDMarra

2
Und nach all der Zeit immer noch ein großartiger Technet-Artikel: technet.microsoft.com/en-us/library/bb727030.aspx - einige Teile wurden ersetzt, sind aber definitiv die Lektüre wert.
TheCleaner
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.