Header-grossesschiff

Telefon  +49 6126 710 796 0

Domain Struktur einrichten

Nach der Entscheidung, welches Forest Modell Ihre Anforderungen am besten unterstützt, stellt sich die Frage nach dem Domänen Design innerhalb des Forest. Ein Active Directory Forest besteht immer aus mindestens einer Domäne. Es ist aber auch möglich, dass ein Forest mehrere Domänen enthält. Auch hier gibt es wieder verschiedene Überlegungen zum Design der Struktur.

AD
Domain Struktur

Was empfiehlt sich für Sie? Hier haben wir einige Design-Gedanken für Sie, nach welchen die Firstattribute AG die Entscheidung ausrichten würde.

 


WAN Bandbreite

Bei der Überlegung ob Sie eine oder mehrere Domänen in einem Forest betreiben sollten, spielt hauptsächlich die Netzwerkbandbreite für die Replikation eine Rolle. Früher wurden deshalb häufig Domänen für jedes Land, zumindest aber für jeden Kontinent eingerichtet. Die gängigen Bandbreiten der heutigen WAN Leitungen reichen meist aus um auch Domänen mit einer hohen Anzahl von Objekten zu replizieren. Deshalb ist es heute meist nicht mehr nötig, aus diesem Grund mehrere Domänen aufzubauen.


Multi Forest vs. Multi Domain

Administrative Trennung

Mehrere Domänen in einem Forest bieten keine absolut sichere Trennung der Administration. Ein Enterprise Admin hat immer die Möglichkeit sich Zugang zu allen Domänen innerhalb des Forest zu verschaffen. Eine sichere administrative Trennung kann somit nicht mit mehreren Domänen innerhalb eines Forest erreicht werden. Für eine sichere administrative Trennung empfiehlt sich der Einsatz eines separaten Forests.

Erfahren Sie mehr über Forest Strukturen.


Passwort Richtlinien

Bis zum Domain Functional Level "Server 2008" war es nicht möglich, unterschiedliche Password Richtlinien innerhalb einer AD DS Domäne zu definieren. Wurden unterschiedliche Passwort Richtlinien für Unternehmensbereiche gefordert, so konnte dies nur in einer zusätzlichen Domäne abgebildet werden. Dies hat sich mit Einführung der "Fine Grained PWD Policy" mit Windows Server 2008 geändert. Sobald der Domain Functional Level auf Server 2008 angehoben wurde, können unterschiedliche Passwort Richtlinien innerhalb einer Domäne festgelegt werden. Passwort Richtlinien sind keine Begründung mehr für eine zusätzliche Domäne. Falls die Bandbreiten und Kapazitäten Ihrer WAN Verbindungen dies zulassen, würden wir ein Single Domain Forest Modell empfehlen.

Die Vorteile eines Single Domain Forest Modells:

  • Kosteneffizienz durch minimalen administrativen Overhead
  • Informationen werden an alle Standorte mit Domain Controllern repliziert.

Die Gründe für ein Multi Domain Forest Modell sind:

  • Verringerung des Replikationsdatenverkehrs
  • Einschränkung der Replikation auf eine Region

Domain Modelle

Bei einem Multi Domain Forest gibt es verschiedene Konstellationen. Da alle Domänen innerhalb eines Forest automatisch mit einer transitiven Vertrauensstellung verbunden sind, unterscheiden sich die Konstellationen in ihrer Funktionalität nur geringfügig.

 

1. Dedicated Empty Root Domain

Die wesentliche Entscheidung bei der Auswahl des Domänen Modells besteht darin, sich für oder gegen eine Empty Root Domain zu entscheiden. Die Root Domain ist die erste Domäne, die in einem neuen Forest installiert wird. Vor einiger Zeit war es best practice eine dedizierte Root Domäne einzuführen. Mittlerweile gehen hier die Meinungen auseinander, mit einer Tendenz dazu, keine dedizierte Root Domäne einzusetzen.

Es gibt wesentliche Gründe für den Einsatz einer Empty Root Domain.
Wir erklären Ihnen diese gern, kontaktieren Sie uns einfach.

 

2. Multiple Top Level Domain Modell

Grundsätzlich können Domänen in einem Forest parallel zu einander, also im "Multiple Top Level Domain Model" oder in einem Baum bzw. Tree aufgesetzt werden.

Mehrere Domänen können auf gleicher Ebene parallel zueinander erstellt und verwaltet werden. Dies ist ähnlich wie eine Multi Forest Umgebung, allerdings ist hier keine sichere Trennung der Administration gegeben. Schemaänderungen in der einen Domäne betreffen auch hier die andere Domäne.

 

Multiple-Top-Level-Domains

Eine Besonderheit ist hier, dass die Domänen der ersten Ebene unterschiedliche Namensräume abbilden können. So kann z.B. eine Domäne den Namen MeinFirma.net tragen und eine andere parallele Domäne im gleichen Forest kann den Namensraum MyCompany.com abbilden.

 

3. Child Domain Modell

Eine weitere Möglichkeit, ist das Root und Child Domain Modell. Ein Bestandteil ist eine übergeordnete Root Domäne (Empty Root Domain). Diese ist meist leer. Es befinden sich in ihr lediglich Administrationskonten. Sie dient dazu, die sensiblen administrativen Rollen des Forests (z.B. Enterprise Admins) in einer eigenen Domäne zu schützen.

Child-Domain

Die Child Domain dient dann als produktive Domäne. Sie enthält die Benutzerkonten der Anwender. Dieses Modell wird allerdings selten genutzt.

 

4. One Root Domain Multiple Child Domains Modell

One Root Domain Multiple Child Domains wird öfter in großen Umgebungen genutzt. Hier gibt es eine Empty Root Domain für den Konzern unter der mehrere Child Domänen hängen. Etwa pro Land eine oder pro Kontinent. Dieses Modell ist eine Erweiterung des  Root Child Modell.

One-Root-Multiple-Child-Domains

Hier gibt es Besonderheiten im Vergleich zum Multiple Root Modell, die wir Ihnen gern unverbindlich erklären.


Welche Domain Struktur eignet sich am besten?

Wir unterstützen Sie gern beim Design Ihrer Domain Struktur.
Was sind Ihre Anforderungen? Was darf auf keinen Fall möglich sein?
Wir freuen uns auf Ihren Anruf oder Ihre Nachricht:

Kontakt


  AD Design
 
 

Domain Name <<

Forest Struktur <<

Domain Struktur

News

  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • DynamicGroup 2015 Release

    FirstWare-DynamicGroup 2015 veröffentlicht

    mehr...
  • AD Spezialisten in Frankfurt unterwegs

    Laufende AD Consultants in Frankfurt

    mehr...
  • Active Directory Consulting in München

    Identity Management mit AD Schwerpunkt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Identity Management für den Mittelstand (KMU)

    Active Directory als zentrales Identity Management für Mittelstand (KMU) einsetzen.

    mehr...
  • Exchange Adressbuchverwaltung per Weboberfläche

    Delegation der Exchange Adressbuchverwaltung per Weboberfläche

    mehr...
  • Cloud Integration am Beispiel von Office 365

    Integration von Cloud Angeboten in das Unternehmensnetzwerk am Beispiel von Office 365.

    mehr...

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum