Frage Was sind Active Directory-Domänendienste und wie funktioniert es?


Das ist ein Kanonische Frage über Active Directory-Domänendienste (AD DS).

Was ist Active Directory? Was macht es und wie funktioniert es?

Wie ist Active Directory organisiert? Gesamtstruktur, untergeordnete Domäne, Struktur, Standort oder Organisationseinheit


Ich erkläre etwas von dem, wovon ich annehme, dass es fast täglich allgemein bekannt ist. Diese Frage wird hoffentlich als kanonische Frage und Antwort für die meisten grundlegenden Active Directory-Fragen dienen. Wenn Sie der Meinung sind, dass Sie die Antwort auf diese Frage verbessern können, bearbeiten Sie bitte weg.


136
2018-06-27 03:47


Ursprung


Ich möchte nicht so aussehen, als ob ich Rep-Huring betreibe, aber ich denke, es lohnt sich, auch auf eine nicht-technische Beschreibung von AD zu verweisen, wenn Sie in eine Situation geraten, in der Sie es in weniger technischen Details beschreiben müssen: serverfault.com/q/18339/7200 - Evan Anderson
Mögliche Links für diese Frage: serverfault.com/questions/568606/ ... - serverfault.com/questions/472562/ ... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... nur um ein paar zu nennen. Vielleicht ist ein Canonical @MDMarra in Ordnung - TheCleaner


Antworten:


Was ist Active Directory?

Active Directory-Domänendienste ist der Microsoft Directory-Server. Es bietet Authentifizierungs- und Autorisierungsmechanismen sowie ein Framework, in dem andere verwandte Dienste bereitgestellt werden können (AD-Zertifikatdienste, AD Federated Services usw.). Es ist ein LDAP konforme Datenbank, die Objekte enthält. Die am häufigsten verwendeten Objekte sind Benutzer, Computer und Gruppen. Diese Objekte können durch beliebig viele logische oder geschäftliche Anforderungen in Organisationseinheiten (OUs) organisiert werden. Gruppenrichtlinienobjekte (Gruppenrichtlinienobjekte) Sie können dann mit Organisationseinheiten verknüpft werden, um die Einstellungen für verschiedene Benutzer oder Computer in einer Organisation zu zentralisieren.

Wenn Benutzer "Active Directory" sagen, beziehen sie sich normalerweise auf "Active Directory-Domänendienste". Beachten Sie, dass es andere Active Directory-Rollen / -Produkte wie z. B. Zertifikatdienste, Verbunddienste, Lightweight Directory-Dienste, Rechteverwaltungsdienste usw. gibt. Diese Antwort bezieht sich speziell auf Active Directory-Domänendienste.

Was ist eine Domäne und was ist ein Wald?

Ein Wald ist eine Sicherheitsgrenze. Objekte in separaten Gesamtstrukturen können nicht miteinander interagieren, es sei denn, die Administratoren jeder einzelnen Gesamtstruktur erstellen eine Vertrauen zwischen ihnen. Zum Beispiel ein Enterprise Administrator-Konto für domain1.com, das normalerweise das privilegierteste Konto einer Gesamtstruktur ist, hat in einer zweiten genannten Gesamtstruktur überhaupt keine Berechtigungen domain2.com, auch wenn diese Gesamtstrukturen im selben LAN vorhanden sind, sofern keine Vertrauensstellung vorhanden ist.

Wenn Sie mehrere getrennte Geschäftseinheiten haben oder separate Sicherheitsgrenzen benötigen, benötigen Sie mehrere Gesamtstrukturen.

Eine Domäne ist eine Verwaltungsgrenze. Domänen sind Teil einer Gesamtstruktur. Die erste Domäne in einer Gesamtstruktur wird als Stammdomäne der Gesamtstruktur bezeichnet. In vielen kleinen und mittleren Organisationen (und sogar einigen großen) finden Sie nur eine einzige Domäne in einer einzigen Gesamtstruktur. Die Gesamtstruktur-Stammdomäne definiert den Standardnamespace für die Gesamtstruktur. Zum Beispiel, wenn die erste Domäne in einer neuen Gesamtstruktur benannt ist domain1.comDann ist das die Stammdomäne der Gesamtstruktur. Wenn Sie geschäftliche Anforderungen für eine untergeordnete Domäne haben, z. B. eine Zweigstelle in Chicago, können Sie die untergeordnete Domäne benennen chi. Das FQDN der Kinddomäne wäre chi.domain1.com. Sie können sehen, dass dem Namen der untergeordneten Domäne der Name der untergeordneten Domäne vorangestellt wurde. So funktioniert es normalerweise. Sie können disjunkte Namespaces in derselben Gesamtstruktur haben, aber das ist eine ganze separate Dose Würmer für eine andere Zeit.

In den meisten Fällen sollten Sie versuchen, alles zu tun, um eine einzelne AD-Domain zu haben. Es vereinfacht die Verwaltung, und moderne Versionen von AD vereinfachen das Delegieren der Steuerung auf Basis der Organisationseinheit, wodurch die Notwendigkeit für untergeordnete Domänen verringert wird.

Ich kann meine Domain benennen, was ich will, oder?

Nicht wirklich. dcpromo.exeist das Tool, das die Förderung eines Servers zu einem DC behandelt, nicht idiotensicher. Es lässt dich mit deiner Benennung schlechte Entscheidungen treffen, also pass auf diesen Abschnitt auf, wenn du unsicher bist. (Bearbeiten: dcpromo ist veraltet in Server 2012. Verwenden Sie die Install-ADDSForest PowerShell-Cmdlet oder installieren Sie AD DS aus dem Server-Manager.)

Verwende als erstes keine erfundenen TLDs wie .local, .lan, .corp oder irgendeinen anderen Mist. Diese TLDs sind nicht reserviert. ICANN verkauft jetzt TLDs, also Ihr mycompany.corp dass du heute benutzt, könnte morgen zu jemandem gehören. Wenn Sie besitzen mycompany.com, dann ist das schlaue Ding, etwas wie zu benutzen internal.mycompany.com oder ad.mycompany.com für Ihren internen AD-Namen. Wenn du benutzt mycompany.com Als extern auflösbare Website sollten Sie es vermeiden, diesen auch als Ihren internen AD-Namen zu verwenden, da Sie mit einem Split-Brain-DNS enden.

Domänencontroller und globale Kataloge

Ein Server, der auf Authentifizierungs- oder Autorisierungsanforderungen reagiert, ist ein Domänencontroller (DC). In den meisten Fällen enthält ein Domänencontroller eine Kopie des Globaler Katalog. Ein globaler Katalog (GC) ist ein Teilsatz von Objekten in alles Domänen in einer Gesamtstruktur Es ist direkt durchsuchbar, was bedeutet, dass domainübergreifende Abfragen in der Regel auf einem GC durchgeführt werden können, ohne dass ein Verweis auf einen Domänencontroller in der Zieldomäne erforderlich ist. Wenn ein DC an Port 3268 abgefragt wird (3269 bei Verwendung von SSL), wird der GC abgefragt. Wenn Port 389 (636 bei Verwendung von SSL) abgefragt wird, wird eine Standard-LDAP-Abfrage verwendet, und in anderen Domänen vorhandene Objekte benötigen u Verweisung.

Wenn ein Benutzer versucht, sich mit AD-Anmeldeinformationen bei einem Computer anzumelden, der mit AD verbunden ist, wird die Kombination aus gesalzenem und gehashtem Benutzernamen und Kennwort sowohl für das Benutzerkonto als auch für das Computerkonto, die sich anmelden, an den Domänencontroller gesendet Computer meldet sich auch an. Dies ist wichtig, denn wenn jemand mit dem Computerkonto in AD reagiert, wie jemand das Konto zurücksetzt oder löscht, erhalten Sie möglicherweise einen Fehler, der besagt, dass zwischen dem Computer und der Domäne keine Vertrauensstellung besteht. Auch wenn Ihre Netzwerkanmeldeinformationen in Ordnung sind, ist der Computer nicht länger vertrauenswürdig, um sich bei der Domäne anzumelden.

Bedenken bezüglich der Verfügbarkeit des Domänencontrollers

Ich höre "Ich habe einen primären Domain Controller (PDC) und möchte einen Backup Domain Controller (BDC)" viel häufiger installieren, an den ich gerne glauben würde. Das Konzept der PDCs und BDCs starb mit Windows NT4. Die letzte Bastion für PDCs befand sich in einem Windows 2000-Übergangsmixmodus AD, als noch NT4-Domänencontroller vorhanden waren. Grundsätzlich, es sei denn, Sie unterstützen ein 15+ Jahre alt installieren, die nie aktualisiert wurde, Sie haben wirklich keinen PDC oder BDC, Sie haben nur zwei Domänencontroller.

Mehrere Domänencontroller können Authentifizierungsanforderungen von verschiedenen Benutzern und Computern gleichzeitig beantworten. Wenn ein Fehler auftritt, bieten die anderen weiterhin Authentifizierungsdienste an, ohne dass Sie einen "primären" Fehler machen müssen, wie Sie dies in den NT4-Tagen hätten tun müssen. Es ist beste Praxis zu haben wenigstens zwei Domänencontroller pro Domäne. Diese DCs sollten beide eine Kopie des GC enthalten und sollten beide DNS-Server sein, die auch eine Kopie der Active Directory Integrated DNS-Zonen für Ihre Domäne enthalten.

FSMO Rollen

"Also, wenn es keine PDCs gibt, warum gibt es dann eine PDC-Rolle, die nur ein einzelner DC haben kann?"

Ich höre das oft. Da ist ein PDC-Emulator Rolle. Es ist anders als eine PDC zu sein. In der Tat gibt es 5 Flexible Einzelmaster-Betriebsrollen (FSMO). Diese werden auch Betriebsmaster-Rollen genannt. Die beiden Begriffe sind austauschbar. Was sind sie und was machen sie? Gute Frage! Die 5 Rollen und ihre Funktion sind:

Domain Name Master - Es gibt nur einen Domänennamenmaster pro Gesamtstruktur. Der Domänennamenmaster stellt sicher, dass beim Hinzufügen einer neuen Domäne zu einer Gesamtstruktur diese eindeutig ist. Wenn der Server mit dieser Rolle offline ist, können Sie keine Änderungen am AD-Namespace vornehmen, der beispielsweise das Hinzufügen neuer untergeordneter Domänen enthält.

Schema Master - In einem Wald gibt es nur einen Schema Operations Master. Es ist verantwortlich für die Aktualisierung des Active Directory-Schemas. Aufgaben, die dies erfordern, z. B. das Vorbereiten von Active Directory für eine neue Version von Windows Server, die als DC fungiert, oder die Installation von Exchange erfordern Schemaänderungen. Diese Änderungen müssen vom Schema-Master aus vorgenommen werden.

Infrastruktur Master - Es gibt einen Infrastruktur-Master pro Domain. Wenn Sie nur eine einzige Domäne in Ihrer Gesamtstruktur haben, müssen Sie sich nicht wirklich darum kümmern. Wenn Sie mehrere Gesamtstrukturen haben, sollten Sie diese Rolle sicherstellen wird nicht von einem Server gehalten, der auch ein GC-Inhaber ist, es sei denn, jeder Domänencontroller in der Gesamtstruktur ist ein GC. Der Infrastrukturmaster ist dafür verantwortlich sicherzustellen, dass domänenübergreifende Verweise ordnungsgemäß verarbeitet werden. Wenn ein Benutzer in einer Domäne einer Gruppe in einer anderen Domäne hinzugefügt wird, stellt der Infrastrukturmaster für die fraglichen Domänen sicher, dass er ordnungsgemäß verarbeitet wird. Diese Rolle wird nicht korrekt funktionieren, wenn sie in einem globalen Katalog ist.

RID Meister - Der Relative ID Master (RID Master) ist verantwortlich für die Ausgabe von RID Pools an DCs. Es gibt einen RID-Master pro Domain. Jedes Objekt in einer AD-Domäne hat eine eindeutige Eigenschaft Sicherheitskennung (SID). Dies besteht aus einer Kombination der Domänenkennung und einer relativen Kennung. Jedes Objekt in einer bestimmten Domäne hat denselben Domänenbezeichner, so dass der relative Bezeichner Objekte einzigartig macht. Jeder Domänencontroller verfügt über einen Pool relativer IDs. Wenn dieser Domänencontroller ein neues Objekt erstellt, hängt es eine RID an, die noch nicht verwendet wurde. Da Domänencontroller nicht überlappende Pools sind, sollte jeder RID für die Dauer der Lebensdauer der Domäne eindeutig bleiben. Wenn ein Domänencontroller bis zu ~ 100 RIDs in seinem Pool erhält, fordert er einen neuen Pool vom RID-Master an. Wenn der RID-Master für einen längeren Zeitraum offline ist, kann die Objekterstellung fehlschlagen.

PDC-Emulator- Schließlich kommen wir zu der am meisten missverstandenen Rolle von allen, der PDC-Emulator-Rolle. Es gibt einen PDC-Emulator pro Domäne. Wenn ein fehlgeschlagener Authentifizierungsversuch fehlschlägt, wird er an den PDC-Emulator weitergeleitet. Der PDC-Emulator fungiert als "Tie-Breaker", wenn ein Kennwort auf einem Domänencontroller aktualisiert wurde und noch nicht auf die anderen Domänencontroller repliziert wurde. Der PDC-Emulator ist auch der Server, der die Zeitsynchronisierung über die Domäne steuert. Alle anderen DCs synchronisieren ihre Zeit vom PDC-Emulator. Alle Clients synchronisieren ihre Zeit von dem Domänencontroller, bei dem sie sich angemeldet haben. Es ist wichtig, dass alles innerhalb von 5 Minuten zueinander bleibt, sonst bricht Kerberos und wenn das passiert, weint jeder.

Wichtig ist, dass die Server, auf denen diese Rollen ausgeführt werden, nicht in Stein gemeißelt sind. Es ist normalerweise trivial, diese Rollen zu verschieben, also, während einige DCs etwas mehr tun als andere, wenn sie für kurze Zeitabschnitte untergehen, funktioniert alles normalerweise normal. Wenn sie lange nicht erreichbar sind, können die Rollen leicht transparent übertragen werden. Es ist viel schöner als die NT4 PDC / BDC Tage, also bitte hören Sie auf, Ihre DCs mit diesen alten Namen anzurufen. :)

Also, ähm ... Wie teilen die DCs Informationen, wenn sie unabhängig voneinander funktionieren können?

Replikation natürlich. Standardmäßig werden DCs, die zu derselben Domäne am selben Standort gehören, ihre Daten im Abstand von 15 Sekunden zueinander replizieren. Dies stellt sicher, dass alles relativ aktuell ist.

Es gibt einige "dringende" Ereignisse, die eine sofortige Replikation auslösen. Diese Ereignisse lauten wie folgt: Ein Konto wird für zu viele fehlgeschlagene Anmeldungen gesperrt, eine Änderung des Domänenkennworts oder der Sperrrichtlinien vorgenommen, das LSA-Geheimnis wird geändert, das Kennwort wird auf dem Computerkonto eines Domänencontrollers geändert oder die RID-Masterrolle wird übertragen zu einem neuen DC. Jedes dieser Ereignisse löst ein sofortiges Replikationsereignis aus.

Passwortänderungen fallen zwischen dringlich und nicht dringlich und werden eindeutig behandelt. Wenn das Passwort eines Benutzers geändert wird DC01 und ein Benutzer versucht, sich bei einem Computer anzumelden, der sich authentifiziert DC02 bevor die Replikation stattfindet, würden Sie erwarten, dass dies fehlschlägt, oder? Zum Glück passiert das nicht. Angenommen, es gibt hier auch eine dritte DC DC03 Das enthält die PDC-Emulatorrolle. Wann DC01 wird mit dem neuen Passwort des Benutzers aktualisiert, auf das die Änderung sofort repliziert wird DC03 ebenfalls. Beim Versuch, die Authentifizierung zu versuchen DC02 scheitert, DC02 leitet dann diesen Authentifizierungsversuch weiter DC03, die bestätigt, dass es tatsächlich gut ist und die Anmeldung erlaubt ist.

Lass uns über DNS sprechen

DNS ist für eine ordnungsgemäß funktionierende AD entscheidend. Die offizielle Microsoft-Parteilinie ist, dass jeder DNS-Server verwendet werden kann, wenn er richtig eingerichtet ist. Wenn Sie versuchen, BIND zu verwenden, um Ihre AD-Zonen zu hosten, sind Sie hoch. Ernst. Bleiben Sie bei der Verwendung von AD Integrated DNS-Zonen und verwenden Sie ggf. bedingte oder globale Weiterleitungen für andere Zonen. Ihre Clients sollten alle für die Verwendung Ihrer AD DNS-Server konfiguriert sein. Daher ist es wichtig, hier Redundanz zu haben. Wenn Sie über zwei Domänencontroller verfügen, lassen Sie beide DNS ausführen und konfigurieren Sie Ihre Clients so, dass sie beide zur Namensauflösung verwenden.

Außerdem sollten Sie sicherstellen, dass, wenn Sie mehr als einen Domänencontroller haben, sie sich nicht zuerst für DNS-Auflösung auflisten. Dies kann zu einer Situation führen, in der sie sich auf einem befinden "Replikationsinsel" Sie sind vom Rest der AD-Replikationstopologie getrennt und können nicht wiederhergestellt werden. Wenn Sie zwei Server haben DC01 - 10.1.1.1 und DC02 - 10.1.1.2, dann sollte ihre DNS-Server-Liste wie folgt konfiguriert werden:

Server: DC01 (10.1.1.1)
  Primärer DNS - 10.1.1.2
  Sekundärer DNS - 127.0.0.1

Server: DC02 (10.1.1.2)
  Primärer DNS - 10.1.1.1
  Sekundärer DNS - 127.0.0.1

OK, das scheint kompliziert. Warum möchte ich AD überhaupt benutzen?

Denn sobald du weißt, was du tust, wird dein Leben unendlich besser. AD ermöglicht die Zentralisierung der Benutzer- und Computerverwaltung sowie die Zentralisierung von Ressourcenzugriff und -nutzung. Stellen Sie sich eine Situation vor, in der Sie 50 Benutzer in einem Büro haben. Wenn Sie möchten, dass jeder Benutzer seine eigene Anmeldung für jeden Computer hat, müssen Sie 50 lokale Benutzerkonten auf jedem PC konfigurieren. Mit AD müssen Sie das Benutzerkonto nur einmal erstellen und es kann sich standardmäßig bei jedem PC in der Domäne anmelden. Wenn Sie die Sicherheit erhöhen wollten, müssten Sie es 50 Mal tun. So ein Albtraum, oder? Stellen Sie sich auch vor, dass Sie eine Dateifreigabe haben, die nur die Hälfte dieser Personen erreichen soll. Wenn Sie AD nicht verwenden, müssen Sie entweder den Benutzernamen und die Kennwörter manuell auf dem Server replizieren, um uneingeschränkten Zugriff zu gewähren, oder Sie müssen ein gemeinsames Konto erstellen und jedem Benutzer den Benutzernamen und das Kennwort geben. Ein Weg bedeutet, dass Sie die Passwörter von Benutzern kennen (und ständig aktualisieren müssen). Der andere Weg bedeutet, dass Sie keinen Audit-Trail haben. Nicht gut, oder?

Sie können auch Gruppenrichtlinien verwenden, wenn Sie AD eingerichtet haben. Gruppenrichtlinien sind eine Gruppe von Objekten, die mit Organisationseinheiten verknüpft sind, die Einstellungen für Benutzer und / oder Computer in diesen Organisationseinheiten definieren. Wenn Sie beispielsweise festlegen möchten, dass "Herunterfahren" nicht im Startmenü für 500 Labor-PCs angezeigt wird, können Sie dies in einer Einstellung in den Gruppenrichtlinien tun. Anstatt Stunden oder Tage damit zu verbringen, die richtigen Registrierungseinträge von Hand zu konfigurieren, erstellen Sie ein Gruppenrichtlinienobjekt einmal, verknüpfen es mit der richtigen Organisationseinheit oder Organisationseinheiten und müssen nie wieder darüber nachdenken. Es gibt Hunderte von Gruppenrichtlinienobjekten, die konfiguriert werden können, und die Flexibilität von Gruppenrichtlinien ist einer der Hauptgründe dafür, dass Microsoft auf dem Unternehmensmarkt so dominant ist.


146
2018-06-27 03:47



Gut gemacht, Mark. Super QA. - EEAA
@TheCleaner Einverstanden, aber ein Teil der Mission von Stack Exchange ist das zentrale Repository für alle nützlichen Informationen zu einem bestimmten Thema. Während also die Informationen auf Wikipedia typischerweise sehr korrekt und relevant sind, werden die Leute nicht hierher getrieben, und "hier" sollte der One-Stop-Shop für alles sein, was mit der Systemverwaltung zusammenhängt. - MDMarra
@RyanBolger Das ist alles wahr, aber dieses Q & A ist auf einen Neuling ausgerichtet. Support ist ein großes Anliegen, und Microsoft wird absolut nicht hilft Ihnen, ein AD-Problem zu lösen, das DNS-bezogen sein könnte, wenn Sie BIND (oder etwas anderes) ausführen. Es ist eine erweiterte Konfiguration, die nicht für jemanden empfohlen wird, der die Frage stellen muss "Was ist AD und wie funktioniert es?" Darüber hinaus ist DNS eine Niedriglast-Rolle. Wenn Sie bereits über Domänencontroller verfügen, ist es sehr schwierig, dafür zu sorgen, dass DNS nicht auf ihnen ausgeführt wird und Sie eine globale Weiterleitung für den Rest Ihrer DNS-Infrastruktur haben. - MDMarra
@RyanBolger - stimmte mit MDMarra überein. Wenn Fred bereits eine gut funktionierende und komplexe interne DNS-Infrastruktur hat, würde Fred nicht auf SF posten und fragen: "Also, ich bin dabei, dieses Active Directory-Ding zu installieren - erzähl mir bitte alles darüber?" - mfinni
Ihre Antwort hat mich nur daran erinnert, die DNS-Server-Suchreihenfolge auf den Domänencontrollern eines Netzwerks, das ich geerbt habe, zu überprüfen ... Ja, sie haben sich auf sich selbst bezogen! - myron-semack


Hinweis: Diese Antwort wurde mit dieser Frage aus einer anderen Frage zusammengeführt, die nach den Unterschieden zwischen Gesamtstrukturen, untergeordneten Domänen, Bäumen, Standorten und Organisationseinheiten fragte. Dies wurde ursprünglich nicht als Antwort auf diese spezielle Frage geschrieben.


Wald

Sie möchten eine neue Gesamtstruktur erstellen, wenn Sie eine Sicherheitsgrenze benötigen. Beispielsweise verfügen Sie möglicherweise über ein Umkreisnetzwerk (DMZ), das Sie mit AD verwalten möchten, aber aus Sicherheitsgründen möchten Sie nicht, dass Ihr internes AD im Umkreisnetzwerk verfügbar ist. In diesem Fall sollten Sie eine neue Gesamtstruktur für diese Sicherheitszone erstellen. Sie können diese Trennung auch wünschen, wenn Sie mehrere Entitäten haben, die sich nicht gegenseitig vertrauen - zum Beispiel eine Shell-Corporation, die einzelne Unternehmen umfasst, die unabhängig voneinander arbeiten. In diesem Fall sollte jede Entität eine eigene Gesamtstruktur haben.


Untergeordnete Domäne

Wirklich, du brauchst diese nicht mehr. Es gibt einige gute Beispiele dafür, wann Sie eine untergeordnete Domäne wünschen. Ein älterer Grund liegt an verschiedenen Passwortrichtlinienanforderungen, aber dies ist nicht mehr gültig, da seit Server 2008 feingranulare Passwortrichtlinien verfügbar sind. Sie benötigen wirklich nur eine untergeordnete Domäne, wenn Sie Bereiche mit unglaublich schlechter Netzwerkkonnektivität haben und möchten den Replikationsverkehr drastisch zu reduzieren - ein Kreuzfahrtschiff mit Satelliten-WAN-Konnektivität ist ein gutes Beispiel. In diesem Fall kann jedes Kreuzfahrtschiff seine eigene Kinderdomäne sein, um relativ unabhängig zu sein, während es immer noch in der Lage ist, die Vorteile zu nutzen, indem es sich in derselben Waldstruktur befindet wie andere Domänen desselben Unternehmens.


Baum

Das ist ein seltsamer Ball. Neue Strukturen werden verwendet, wenn Sie die Verwaltungsvorteile einer einzelnen Gesamtstruktur beibehalten möchten, aber eine Domäne in einem neuen DNS-Namespace haben. Zum Beispiel corp.example.com Vielleicht ist die Waldwurzel, aber du könntest haben ad.mdmarra.com im selben Wald mit einem neuen Baum. Hier gelten die gleichen Regeln und Empfehlungen für untergeordnete Domänen - verwende sie sparsam. Sie werden normalerweise nicht in modernen ADs benötigt.


Seite? ˅

Eine Site sollte die physische oder logische Grenze in Ihrem Netzwerk darstellen. Zum Beispiel, Zweigstellen. Mithilfe von Sites werden Replikationspartner für Domänencontroller in verschiedenen Bereichen intelligent ausgewählt. Ohne Definieren von Standorten werden alle Domänencontroller so behandelt, als befänden sie sich am selben physischen Speicherort und replizieren sich in einer Netztopologie. In der Praxis werden die meisten Organisationen in einem Hub-and-Spoke logisch konfiguriert, sodass Websites und Dienste entsprechend konfiguriert werden sollten.

Andere Anwendungen verwenden auch Sites und Dienste. DFS verwendet es für Namespaceverweise und Replikationspartnerauswahl. Exchange und Outlook verwenden es, um den "nächsten" globalen Katalog zu finden, der abgefragt werden soll. Ihre Computer, die der Domäne angehören, verwenden diese, um die "nächstgelegenen" DCs zu finden, mit denen sie sich authentifizieren können. Ohne dies ist Ihr Replikations- und Authentifizierungsdatenverkehr wie im Wilden Westen.


Organisationseinheit

Diese sollten auf eine Weise erstellt werden, die den Anforderungen Ihres Unternehmens an die Delegierung von Berechtigungs- und Gruppenrichtlinienanwendungen entspricht. Viele Organisationen haben eine Organisationseinheit pro Website, weil sie das Gruppenrichtlinienobjekt auf diese Weise anwenden. Das ist albern, weil Sie das Gruppenrichtlinienobjekt auch auf einer Website von Google Sites und Google Services anwenden können. Andere Organisationen trennen Organisationseinheiten nach Abteilung oder Funktion. Dies ist für viele Menschen sinnvoll, aber wirklich OU-Design sollte Ihre Bedürfnisse erfüllen und ist ziemlich flexibel. Es gibt keinen "Weg" dafür.

Ein multinationales Unternehmen kann Top-Level-OUs von North America, Europe, Asia, South America, Africa damit sie administrative Privilegien basierend auf Kontinent delegieren können. Andere Organisationen verfügen möglicherweise über OUs auf oberster Ebene Human Resources, Accounting, Salesusw., wenn das für sie mehr Sinn macht. Andere Organisationen haben minimale Richtlinienanforderungen und verwenden nur ein "flaches" Layout Employee Users und Employee Computers. Hier gibt es wirklich keine richtige Antwort, es entspricht den Anforderungen Ihres Unternehmens.


17
2018-01-28 17:06



Jemand kennt seine AD ziemlich gründlich .. +1 - NickW
@NickW AD Fragen sind, wo 72k meiner 72.9k rep kommen wahrscheinlich aus: D - MDMarra
Und immer noch ein toller Technet-Artikel zum Lesen nach all der Zeit: technet.microsoft.com/en-us/library/bb727030.aspx - Einige Teile wurden ersetzt, sind aber definitiv lesenswert. - TheCleaner