Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 20 Gruppen und Gruppenverschachtelung
  gp 20.1 Gruppentypen und Gruppenbereiche
  gp 20.2 Altlasten aus Windows-NT-4.0-Domänen
  gp 20.3 Sicherheitsgruppen im Active Directory
  gp 20.4 Umwandlung von Gruppen
  gp 20.5 Globale oder universelle Gruppenbereiche verwenden
  gp 20.6 Einige Ratschläge zur Auswahl des Gruppentyps und des Gruppenbereichs


Galileo Computing

20.5 Globale oder universelle Gruppenbereiche verwenden  toptop

Die Begriffe »universale Gruppe« und »universelle Gruppe« werden in der Literatur parallel verwendet. Der Technet-Artikel »MS Exchange 2000 Server – Verzeichniszugriff und Integration mit MS Windows 2000« liefert eine Antwort auf die Frage, ob globale oder universelle Sicherheitsgruppen als Verteilerlisten genutzt werden sollen. Gleichzeitig liefert er damit aber auch eine Antwort auf die generelle Frage, ob globale oder universelle Gruppen genutzt werden sollen. Nachfolgend einige Zitate:

»Typ und Geltungsbereich der in Exchange 2000 verwendeten Gruppen hängt von den Unternehmens- und Benutzeranforderungen ab. Um eine volle Flexibilität zu erhalten, implementieren Sie Gruppen vom Typ ›Sicherheit‹ mit dem Geltungsbereich ›Universal‹. Obwohl es sich um eine Definition einer Gruppe vom Typ ›Sicherheit‹ handelt, kann diese (durch Hinzufügen einer SMTP-Adresse) mit Mailfunktionalität versehen und im globalen Adressbuch angezeigt werden. Ein Nachteil von Gruppen vom Typ ›Sicherheit‹ mit dem Geltungsbereich ›Universal‹ besteht darin, dass sie nur in Domänen im einheitlichen Modus erstellt werden können. Erfreulicherweise müssen Sie für einen Wechsel einer Domäne vom gemischten in den einheitlichen Modus nur eine Aktualisierung der Domänencontroller auf Windows 2000 durchführen. Der Wechsel zu Domänen im einheitlichen Modus erleichtert den Aktualisierungs- und Implementierungsprozess von Exchange 2000 und bietet eine weitere Verzeichnisskalierbarkeit.«


Um das Funktions- und Rationalisierungspotential von Active Directory voll auszuschöpfen, sollten Sie bei der Konzeption des neuen Systems den Idealzustand in den Fokus Ihrer Planung stellen und nicht die Migrationsfähigkeit von Altlasten.


Haben Sie den Mut und planen Sie den Soll-Zustand ideal ohne ständige Bedenken, wie alte Systeme dorthin überführt werden können. Erst dann, wenn das Idealkonzept steht, planen Sie in der zweiten Phase, wie Sie vom Ist-Zustand zum Soll-Zustand gelangen. Viele augenscheinliche Probleme auf diesem Weg sind nur auf den ersten Blick aufwands- oder kostenintensiv und vielleicht sogar technisch nicht machbar. Je tiefer Sie in die neue Technik eindringen und die vielfältigen Migrationstools kennen lernen, desto mehr Hürden fallen nach und nach. Verbauen Sie sich durch einen komplex erscheinenden, jedoch einmalig zu bewältigenden Umstellungsaufwand nicht den Weg zu einem langfristig die »Total Costs of Ownership« drastisch senkenden Gesamtsystem. In dem genannten Technet-Artikel finden Sie weiterhin folgende Aussagen:

»Ein weiterer Punkt, der beim Einrichten von Gruppen mit dem Geltungsbereich ›Universal‹ beachtet werden muss, ist die Veröffentlichung ihrer Mitgliedschaft auf den globalen Katalogservern, sodass eine Änderung der Mitgliedschaft für Replikationsverkehr sorgt. Obwohl Active Directory die Replikation auf Eigenschaftsebene unterstützt, ist die Mitgliedschaft in einer Gruppe in einer Eigenschaft mit mehreren Werten für das Gruppenobjekt enthalten. Bei einer großen Gruppe kann daher ein beträchtlicher Replikationsverkehr erzeugt werden. Um dieses Risiko zu mildern, legen Sie Benutzerobjekte in anderen Gruppen mit dem Geltungsbereich ›Universal‹ ab und verschachteln diese Gruppen unter einer übergeordneten Gruppe mit dem Geltungsbereich ›Universal‹. Wenn sich die Mitgliedschaft eines Benutzers in der Gruppe ändert, wird das übergeordnete ›Universal‹-Gruppenobjekt nicht geändert, weshalb kein Replikationsverkehr erzeugt wird.«

Der im Artikel angesprochene Replikationsverkehr tritt natürlich nur in Domänen mit mehreren Standorten auf. Beträchtlich ist er jedoch in der Regel nur in der Einführungsphase, denn bei Unternehmen, deren Organisationsstruktur recht stabil ist und die eine akzeptable Personalfluktuation haben, ändern sich sowohl die Mitgliedschaften in den Gruppen als auch die zu replizierenden Attribute nach der Einführung des Systems nicht mehr häufig.

Um den durch das Einrichten neuer Postfächer, die Neuzuweisung zu Gruppen und die Änderung einzelner Attribute (z.B. die Telefonnummer oder die Raumnummer eines Mitarbeiters) hervorgerufenen Replikationsverkehr nach der Implementierungsphase abzuschätzen, saldieren Sie die Anzahl der Personalzugänge und –abgänge pro Jahr und die Anzahl der Abteilungswechsel bzw. die Anzahl der temporären Projektgruppen, die pro Jahr als Sicherungsgruppen eingerichtet werden müssen. Diese Anzahl dividieren Sie durch die Anzahl der Jahresarbeitstage und durch die Anzahl der Active-Directory-Standorte. So erhalten Sie die Anzahl der Änderungen, die pro Arbeitstag über die WAN-Leitungen an die globalen Katalogserver repliziert werden müssen. Der dadurch verursachte Replikationsverkehr wird zumindest in Einrichtungen des öffentlichen Dienstes sehr gering ausfallen. Weiter heißt es in dem Artikel:

»Da Gruppen mit dem Geltungsbereich ›Universal‹ in diesem Szenario verwendet wurden, können Outlook-Benutzer weiterhin die volle Mitgliedschaft der übergeordneten Gruppe und deren Untergruppen anzeigen. Sie können anstelle von Gruppen mit dem Geltungsbereich ›Universal‹ Gruppen mit dem Geltungsbereich ›Global‹ verwenden. Bei Verwenden dieser Konfigurationsmethode wird jedoch die Mitgliedschaft der Gruppen mit dem Geltungsbereich ›Global‹ nicht direkt auf den globalen Katalogservern veröffentlicht. Dadurch ist es möglich, dass ein Outlook-Client die Mitgliedschaft nicht auf der Empfängerebene anzeigen kann.

Wird eine Nachricht an eine Gruppe gesendet, muss der SMTP-Dienst die Mitgliedschaft des Gruppenobjekts erweitern. Wurde in der lokalen Domäne eine Gruppe mit dem Geltungsbereich ›Lokale Domäne oder ›Global‹ definiert, kann die Mitgliederliste von einem beliebigen lokalen Domänencontroller abgerufen werden. Wenn es sich um eine Gruppe mit dem Geltungsbereich ›Universal‹ handelt und Benutzer direkt in der Liste angezeigt werden, kann die Mitgliedschaft von einem beliebigen lokalen globalen Katalogserver abgerufen werden.

Wenn eine Nachricht an eine Gruppe mit dem Geltungsbereich ›Lokale Domäne oder ›Global‹ gesendet wird, die in einer anderen Domäne erstellt wurde, oder eine Gruppe mit dem Geltungsbereich ›Universal‹ Gruppen mit dem Geltungsbereich ›Global‹ in anderen Domänen enthält, gibt es für die Erweiterung zwei Möglichkeiten:

Weiterleiten der Nachricht an die Remotedomäne, um sie dort zu erweitern.

Lokales Erweitern der Nachricht, wobei direkte LDAP-Aufrufe an einen Domänencontroller in der Remotedomäne gerichtet werden, um die Mitgliedschaft abzurufen. Dabei wird impliziert, dass zwischen dem erweiternden Server und dem Remotedomänencontroller eine direkte IP-Konnektivität besteht.

Der Nachteil der zweiten Methode besteht abhängig von der Netzwerkgeschwindigkeit darin, dass der Remoteabruf einige Zeit dauern kann, wodurch die Nachrichtenübermittlung verlangsamt wird. Ist in der Remotedomäne ein Exchange Servercomputer vorhanden, ist es u. U. effizienter, die Erweiterung auf diesem Server auszuführen, anstatt die Mitgliedschaft remote abzurufen.

Sie müssen entscheiden, ob Sie eine Gruppe mit dem Geltungsbereich ›Universal‹ für die Liste erstellen oder Gruppen mit dem Geltungsbereich ›Lokale Domäne oder ›Global‹ verwenden und den Abruf der Mitgliedschaft für Remotedomänen annehmen möchten, wenn die Liste erweitert werden muss. Beachten Sie beim Festlegen des Gruppentyps folgende Fragen:

gp  Verwenden Sie eine oder mehrere Active-Directory-Domänen innerhalb der Organisation?
gp  Ist zwischen allen Domänen eine direkte IP-Konnektivität möglich?
gp  Wie viele Mitgliedschaftsänderungen erfolgen in einem gegebenen Zeitraum, z.B. einer Woche oder einem Monat?
gp  Wer sendet den Großteil der E–Mail-Nachrichten an die Liste: Benutzer in lokalen Domänen oder Benutzer in Remotedomänen?

Beachten Sie ferner beim Implementieren von Gruppen mit dem Geltungsbereich ›Lokale Domäne und/oder ›Global‹, dass Outlook-Benutzer die Mitgliedschaft der Gruppe nur dann anzeigen können, wenn die Gruppen mit dem Geltungsbereich ›Lokale Domäne oder ›Global‹ in derselben Domäne definiert werden wie der Benutzer ...

Die Anzahl der Mitglieder einer (beliebigen) Gruppe muss stets unter 5000 liegen. Soll eine Gruppe mehr als 5000 Benutzer umfassen, muss eine Verschachtelung erfolgen. Aus Gründen der Effizienz und Skalierbarkeit sollten Sie das Verschachteln von Gruppen erwägen, die über mehr als 500 Mitglieder verfügen.«

Wenn Sie tatsächlich Gesamtstrukturen mit mehreren Domänen aufsetzen, so hat das seinen Grund. Meistens stellen die Subdomänen weitgehend autonome Tochterfirmen oder Behörden dar. Es schließt sich dann sofort die Frage an, ob nicht der Großteil der versendeten Nachrichten innerhalb einer Domäne verbleibt. Wie oft wird es vor allen Dingen vorkommen, dass ein Mitarbeiter der einen Domäne eine Nachricht an einen Verteiler einer anderen Domäne verschickt, und wie viele Empfänger gehören dann zu diesem Verteiler? Ist es wahrscheinlich, dass z.B. ein Vertriebsmitarbeiter der Domäne A eine Nachricht an den Verteiler VL Vertrieb B der Domäne B oder sogar an alle Mitarbeiter dieser Domäne verschickt, oder wird er nicht eher Nachrichten an einzelne ihm bekannte Mitarbeiter der anderen Tochterfirma schicken?

Mailbomben verhindern Werden Sie nicht eher unterbinden wollen, dass ein Mitarbeiter z.B. eine ihm wichtige Virenwarnung an alle Empfänger der Exchange-Organisation verschickt und damit ungewollt den eigentlichen »Virus« auslöst (Schneeballsystem; Mailbombe)? Überschlagen Sie den wirtschaftlichen Schaden, der entsteht, wenn jeder Empfänger eine Minute Arbeitszeit verschwendet, um diese angeblich echte Virenwarnung zu lesen und darüber nachzudenken, an welche Bekannten und Kollegen er diese »wichtige« Warnung weiterschicken sollte. Es gibt übrigens unter Exchange Server mehrere Möglichkeiten zum Unterbinden solcher Massenmails: Sie können die Anzahl der gleichzeitig adressierten Empfänger oder die Maximalgröße einer Nachricht über globale Parameter beschränken oder auch die Adressierbarkeit einer Verteilergruppe derart einschränken, dass z.B. der Verteiler VL Vertrieb Hansen-Verlag nur durch Mitglieder des Verteilers VL Hansen-Verlag · alle Mitarbeiter erreichbar ist, und somit nicht durch Absender, die nicht zur Domäne Hansen-Verlag gehören.


Die Schlussfolgerung aus diesen Überlegungen könnte sein, dass ausschließlich universale Gruppen angelegt werden. Sollte diese Entscheidung später zu Problemen führen, so können die entsprechenden universalen Gruppen auch nachträglich wieder in globale oder sogar lokale Gruppen umgewandelt werden.


 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de