Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 20 Gruppen und Gruppenverschachtelung
  gp 20.1 Gruppentypen und Gruppenbereiche
  gp 20.2 Altlasten aus Windows-NT-4.0-Domänen
  gp 20.3 Sicherheitsgruppen im Active Directory
  gp 20.4 Umwandlung von Gruppen
  gp 20.5 Globale oder universelle Gruppenbereiche verwenden
  gp 20.6 Einige Ratschläge zur Auswahl des Gruppentyps und des Gruppenbereichs


Galileo Computing

20.3 Sicherheitsgruppen im Active Directory  toptop

In Active Directory sieht die Sache ein wenig anders aus: Die Anzahl von Konten in einem Domänenwald ist faktisch unbeschränkt, ein Grund, möglichst wenig Domänen in der Gesamtstruktur anzulegen und stattdessen OUs zur Strukturierung zu nutzen.

Lokale Gruppen können nicht nur ineinander verschachtelt werden. Man spricht jetzt auch von domänenlokalen Sicherheitsgruppen, was nichts anderes bedeutet, als dass auch die lokalen Gruppen jetzt im Active Directory und nicht mehr in der lokalen Sicherheitsdatenbank verwaltet werden. Das wiederum bedeutet, dass einer lokalen Gruppe nun Rechte für beliebige Ressourcen innerhalb der Domäne zugewiesen werden können, in der sie erstellt wurde. Die lokale Gruppe ist also nicht mehr an einen speziellen Server gebunden.

Ebenso können globale Gruppen einer Domäne ineinander verschachtelt werden. Im einheitlichen Modus kann die globale Gruppe ein Mitglied von globalen, lokalen oder universalen Gruppen in der gleichen Domäne sein. Eine globale Gruppe der Domäne X kann aber auch ein Mitglied von universalen oder lokalen Gruppen einer anderen Domäne Y sein, wenn beide Domänen zur selben Gesamtstruktur gehören. Eine globale Gruppe der Domäne X kann aber nicht ein Mitglied einer globalen Gruppe einer anderen Domäne sein.

Universale Gruppen werden zur Zusammenfassung von Gruppen aus unterschiedlichen Domänen zu einer administrativen Einheit verwendet. Eine Liste der Mitgliedschaften in universalen Gruppen wird im globalen Katalog verwaltet. Änderungen an den Daten, die im globalen Katalog gespeichert werden, werden zu jedem globalen Katalog in einer Gesamtstruktur repliziert. Indem die Verwendung universaler Gruppen minimiert wird, kann die Replikationsaktivität im Wesentlichen auf eine einzelne Domäne beschränkt werden.

Sollten Sie aus diesem Grunde aber die Anzahl der universalen Gruppen minimieren? Repliziert werden immer nur Änderungen auf Attributsebene, nicht aber das ganze Objekt. Wenn sich also die Telefonnummer oder der Nachname eines Benutzers ändert, so wird nur diese Attributsänderung über Domänengrenzen hinweg weitergegeben, es wird aber nicht das ganze Objekt mit all seinen Attributsinhalten erneut repliziert. Sobald Ihre Gesamtstruktur steht, alle Benutzer angelegt und die Gruppenmitgliedschaften definiert wurden, nimmt der Replikationsverkehr drastisch ab, es sei denn, Sie arbeiten in einer Organisation, in der eine hohe Personalfluktuation herrscht oder permanent umstrukturiert wird, etwa wegen Firmenfusionen, Firmenauflösungen oder sich ständig und in großer Zahl ändernden Projektgruppen und Mitgliedschaften in temporären Projektgruppen.

Das Konzept, Benutzer nur in globale Gruppen aufzunehmen, diese globalen Gruppen wiederum zu Mitgliedern von lokalen Gruppen zu machen und nur den lokalen Gruppen Rechte zu Ressourcen zuzuweisen, führt damit zu einer unnötigen Komplexität, die eigentlich nur berechtigt ist, solange Sie sich in der Umbauphase von Windows-NT-4.0-Domänen zu einem Active Directory befinden.


Haben Sie diese Altlasten nicht oder führen Sie statt einer Migration (Update von alten NT-4.0-Domänencontrollern auf Windows 2003 Server) das neue System Active Directory parallel ein und ersetzen schlagartig statt über die »sanfte Migration« ein lokales Netzwerk durch Active Directory, so können Sie das neue System sofort im einheitlichen Modus, seit Windows Server 2003 »Domänenfunktionsebene Windows Server 2003« genannt, fahren und alle Vorteile nutzen.


Ich rate Ihnen dazu, diesen Weg zu gehen. Oft sind die alten NT-4.0-Server vom Stand der Technik her überaltert. Serverhardware verliert pro Jahr ungefähr 50 Prozent an Wert. Schon allein deshalb sind der Aufwand und das Risiko, alte Windows-NT-4.0-Server mühselig auf Windows Server 2003 zu updaten, oft unakzeptabel. Sie können besser die alte Serverhardware für andere Zwecke weiterverwenden und parallel zur alten Windows-4.0-Domäne ein sauberes Active Directory auf neuer Serverhardware im einheitlichen Modus hochziehen, mit Testkennungen und Testgruppen durchtesten und dann eine Abteilung nach der anderen schlagartig umstellen. Bei dieser Umstellung werden Sie dann auch die Workstations z.B. mit einem RIS-Abbild innerhalb kurzer Zeit auf das aktuelle Betriebssystem und die aktuelle Office-Version umstellen und dabei überalterte Client-Hardware aussondern.


Die Kenntnisse, die Ihre Mitarbeiter sich aneignen müssen, um die Besonderheiten eines Gemischtmodus von Active Directory und alter NT-4.0-Domänenlandschaft sowie einem Gemischtmodus von Exchange 2003 und Exchange 5.0/5.5 zu beherrschen, sind enorm. Der Gemischtbetrieb ist fehleranfällig.


Versuchen Sie darüber hinaus auch noch, Netware-Netze zu integrieren, so werden Sie mit großer Wahrscheinlichkeit irgendwo im Umstellungsprozess stecken bleiben und nie zu sauberen und überschaubaren Strukturen gelangen. Vor allem wird es Ihnen nicht gelingen, eine Dokumentation zu erstellen, die alle Zwischenschritte mit allen Besonderheiten darstellt und auf dem Weg zum einheitlichen Modus ständig mitgepflegt wird. Und denken Sie daran, dass auch die für die Verwaltung von Active Directory bestimmenden Elemente wie Gruppenrichtlinien, OUs, Zuweisung von Verwaltungsaufgaben über OUs für Server und Clients unter Windows NT 4.0 nicht wirken.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de