Restrukturierung unserer Gruppenrichtlinien - Bräuchte kleinen Einstieg

[Neo van Matix]

Hallo,

ich arbeite in einem kleinen Unternehmen, was bisher nur einen Standort hatte. Nun wurde das ganze um einen zweiten Standort erweitert.

Hier treten einige Probleme auf, da am zweiten Standort lediglich ein dritter Domänencontroller aufgesetzt wurde, der über's Netz repliziert. Natürlich bekommen so die Benutzer am zweiten Standort auch die GPO's des ersten übergebügelt, was nicht immer Wünschenswert ist - beispielsweise die Proxyeinstellungen für den IE, o.ä.

Es besteht also am zweiten eine völlig andere Infrastruktur, mit einer seperierten IP-Range, usw.

Nun wurde mir die Aufgabe deligiert, den IST-Zustand unserer Policies festzuhalten, und mir Gedanken zu machen, wie man das ganze mit Weitblick restrukturieren könnte.

Ich hatte mich vor etwa 9 Monten mit dem Thema ADS befasst, da's für mich ein völlig unbekanntes Thema war. Hierzu hab ich auch einige Seiten gelesen, und mehrere Domänencontroller per VMware gequält ;-)

Dennoch weise ich hier natürlich kaum fachliches Wissen auf, ganz zu schweigen von der Kompetenz, ein ADS-Konzept, welches alle relevanten Punkte wie Sicherheit und Funktionalität abdeckt, aufzusetzen.

Nun möchte ich hier einfach mal nachfragen, was die geläufigste Methode ist, um einen Pool von Benutzern und Rechnern sinnig in zwei Standorte aufzuteilen. Wichtig ist hierbei, dass die Rechner und Benutzer nicht fix sind - der ein oder andere Benutzer wechselt häufig seinen Standort, die Rechner recht selten (aber dennoch tun sie's).

Würde es z.b. Sinn machen, zwei Top-OU's zu erstellen: Standort 1 und Standort 2, welche jeweils die OU's "Computers" und "Users" beinhalten, in die die einzelnen Benutzer und Rechner sortiert werden?

Zukunftstechnisch wäre ja dafür gesorgt, dass mit Einfachheit ein 3. oder 4. Standort erstellt werden könnte, in den die Benutzer und Rechner einsortiert werden.

Allerdings... machts den Sinn, die Benutzer so an einen Standort zu binden? Wenn Hans Hans mal für einen Tag an einen anderen Standort zieht, macht es wohl wenig Sinn, ihn für einen Tag (oder lassen wir's 30 Minuten sein) in eine andere OU zu verschieben.

[hades]

Gruppenrichtlinien koennen auch pro ActiveDirectory-Standort eingesetzt werden.

Allerdings muss dann auch das MMC SnapIn AD Standorte gepflegt werden.

[Neo van Matix]

Möchtest du mir hier vielleicht ein paar mehr Infos geben, damit ich ein bisschen mehr Input drüber hab, wonach ich such / wo ich mich einarbeit?

Wie genau funktioniert den das MMC Snapin? Woran erkennt die Domäne denn, ob ein Domaincontroller an einem anderen Standort steht, als ein anderer?

[toppy]

Standort

Kombination eines oder mehrerer zuverlässig durch Hochgeschwindigkeits-Verbindungen verbundener IP-Subnetze. Ein Standort kann beliebig viele Subnetze beinhalten, ein Subnetz gehört jedoch nur zu einem Standort.

Die Standortmitgliedschaft eines Computers wird für Clients dynamisch aufgrund ihrer IP beim Einschalten festgelegt. Domänencontroller werden bei der Active Directory-Installation einem Standort zugeordnet, können aber manuell in einen anderen Standort verschoben werden.

Bei der Installation des ersten DCs der Domäne wird ein Standardstandort erstellt, dem alle IP-Subnetze zugewiesen werden.

Da Domänen zur logischen Struktur gehören, müssen sich die physische Struktur und die Domänenstruktur nicht entsprechen. Ein Standort kann mehrere Domänen enthalten, eine Domäne kann mehrere Standorte enthalten. Standorte und Domäne können voneinander getrennte Namespaces haben.

Du musst also im AD 2 Standorte anlegen, Haus I und Haus II zum Beispiel, und diesen dann jeweils einen oder mehrer DC's zuweisen.

An diese kannst du dann unterschiedle Richtlinien knüpfen und der Rechner zieht immer die von seinem jeweiligen Standort.

Kurzer Überblick -> Link

[Neo van Matix]

Hallo,

also, wie es scheint, wurde hier bei uns schon mit Standorten gearbeitet. Zumindest sind zwei angelegt, und die Domänencontroller jeweils zugeordnet.

Auf dem ersten Standort liegt auch ein Gruppenrichtlinienobjekt, auf dem zweiten nicht.

Nun würde mich interessieren: Wenn ich nun im AD etwas an den Gruppenrichtlinien die auf der Domäne liegen (standort.firma) ändere, wie wirken Sie sich auf die Standorte aus? Global? Wahrscheinlich...

Aber was ist mit den Gruppenrichtlinien die auf dem ersten Standort liegen? Diese scheinen eine exakte Kopie der globalen Richtlinien zu sein - wurden Sie vielleicht einfach beim erstellen des ersten Standorts übernommen?

Es würde also Sinn machen, in AD Benutzer & Computer eine global gültige GPO festzulegen - beispielsweise dass in der Titelzeile eines jeden IE's ein "powered by firma" steht, oder etwa das das Automatische Update auf "Automatisch" steht. Und dann treffe ich spezielle Bestimmungen für den einzelnen Standort - beispielsweise welcher Proxy am jeweiligen Standort verteilt werden soll?

Was für Auswirkungen hätte es, wenn ich die GPO, die auf dem ersten Standort im AD Snapin Standorte- und Dienste lösche? Dann gilt global weiterhin die GPO, die im AD Snapin Benutzer- und Computer auf der Toplevel-Domäne liegt, richtig?

[mamamia]

Nun würde mich interessieren: Wenn ich nun im AD etwas an den Gruppenrichtlinien die auf der Domäne liegen (standort.firma) ändere, wie wirken Sie sich auf die Standorte aus? Global? Wahrscheinlich...

Richtig.

Aber was ist mit den Gruppenrichtlinien die auf dem ersten Standort liegen? Diese scheinen eine exakte Kopie der globalen Richtlinien zu sein - wurden Sie vielleicht einfach beim erstellen des ersten Standorts übernommen?

Nein, die müssen eingetragen worden sein. Da steht nix drin.

Es würde also Sinn machen, in AD Benutzer & Computer eine global gültige GPO festzulegen - beispielsweise dass in der Titelzeile eines jeden IE's ein "powered by firma" steht, oder etwa das das Automatische Update auf "Automatisch" steht. Und dann treffe ich spezielle Bestimmungen für den einzelnen Standort - beispielsweise welcher Proxy am jeweiligen Standort verteilt werden soll?

So isses. Alles das was für die gesamte Domäne gelten soll, legst du in der ADS fest. Was nur für den Standort gelten soll, machste eben nur für den Standort.

Was für Auswirkungen hätte es, wenn ich die GPO, die auf dem ersten Standort im AD Snapin Standorte- und Dienste lösche? Dann gilt global weiterhin die GPO, die im AD Snapin Benutzer- und Computer auf der Toplevel-Domäne liegt, richtig?

Topleveldomäne? biste rootserver :D

Nee, ja erst kommen die aus der Domäne, dann die aus dem Standort, quasi Standort überschreibt Domäne.

Klar gilt die dann weiter, die iss ja auch gesetzt.

[Neo van Matix]

Okay, gut,... das hört sich ja recht einfach an - hatte es mir zumindest komplizierter vorgestellt.

Nun muss ich also nurnoch ein Konzept erarbeiten, welche Einstellungen sinnvoll sind, welche man davon Global einsetzen kann, und welche Standortbedingt.

Vielen Dank ^^