Logo faq-o-matic.net
Logo faq-o-matic.net

Welches Domänenmodell ist das Beste für Active Directory?

von veröffentlicht am9. Juni 2007, 00:51 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Design   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 22. Juli 2008

Diese Frage lässt sich am besten mit Radio Eriwan beantworten: Im Prinzip ja. Wer es detaillierter wissen möchte, kommt leider um eine in IT-Kreisen nicht immer beliebte Aufgabe nicht herum: Erörtern der Anforderungen.

Active Directory ermöglicht eine Vielzahl von Domänenmodellen, die sehr unterschiedliche Ansprüche erfüllen können. Domänen können einzeln stehen, in einer Struktur (Tree) angeordnet sein oder sich in komplexen Konstrukten mit mehreren einzelnen Strukturen (Forest) zusammenfinden. Grundsätzlich gilt das KISS-Prinzip: Keep it simple, stupid! Der Ausgangspunkt der Überlegungen sollte also immer das Einzeldomänenmodell sein, denn es bietet den geringsten Hardware- und Administrationsaufwand.

So einfach ist es aber oft nicht. Daher folgt hier eine sehr kurze Übersicht der wichtigsten Vor- und Nachteile verschiedener üblicher Modelle. Zu dieser Übersicht ist auch folgender Artikel sehr interessant, der Diskussionen der internationalen AD-Expertenstzene zusammenfasst:

[Multiple Domain Forests: Still a Valid Design Model? > ActiveDir.org > ActiveDir Articles]
http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/68/Default.aspx

Domänenmodelle mit einem gemeinsamen Forest

Ein Forest (in der deutschen Übersetzung: Gesamtstruktur) bildet die oberste Einheit eines gemeinsamen Active Directory. Alle Domänen eines Forests haben ein gemeinsames Schema (Datenbankdefinition), einen gemeinsamen Global Catalog und eine gemeinsame AD-Konfiguration. Zudem sind einige Gruppen einmalig im Forest vorhanden (z.B. Organisations-Admins). Während administrativ jede Domäne einen eigenen Sicherheitsbereich darstellt, durch den Ressourcenzugriffe weitgehend auf Benutzer der eigenen Domäne eingegrenzt werden können, ist die Sicherheitstrennung nicht absolut: Einem Admin aus einer beteiligten Domäne kann es gelingen, in andere Domänen desselben Forests einzudringen (das ist nicht trivial, aber möglich). Wenn also eine echte Sicherheitstrennung zwischen Geschäftsbereichen erforderlich ist, müssen die Bereiche auf eigenständige, getrennte Forests verteilt werden. Für zusammenhängende Unternehmen sind in der Regel Modelle mit einem gemeinsamen Forest am vorteilhaftesten.

Modell Beschreibung Pro Contra
Einzeldomäne Eine einzelne Domäne wird für das gesamte Unternehmen erzeugt. Die interne Struktur wird durch Organisationseinheiten (OUs) gebildet. Die Replikation wird durch AD-Standorte (Sites) gesteuert.
  • Einfachster Entwurf
  • Minimaler Aufwand für Hardware und Administration
  • Einfacher Namensraum
  • Einheitliches Sicherheitsmodell
  • Keine hierarchische Anordnung von Domänen
  • Zukünftige Erweiterungen könnten mehr al seine Domäne nötig machen
  • Domänenobjekte sind auf derselben Ebene wie Forest-Objekte
Leere Stammdomäne(Empty Root Domain) Ein Modell mit mindestens zwei Domänen, von denen eine als Stammdomäne fungiert (in der keine produktiven Objekte enthalten sind). Die anderen Domänen sind untergeordnet (Subdomänen) und enthalten die tatsächlich genutzten Objekte. Der Namensraum ist strikt hierarchisch.
  • Trennung der Forest-Objekte (z.B. Gruppe Organisations-Admins) von den Domänenobjekten
  • Unternehmens­gliederungen können als Sicherheits­einheiten getrennt werden
  • Verwaltung des Forests kann als Aufgabe des Gesamtunternehmens entworfen werden (in Unternehmens­gruppen)
  • Komplexes Design
  • Höherer Aufwand für Hardware und Administration
  • Komplexerer Namensraum
  • Getrennte Sicherheits­bereiche
  • Die Stammdomäne ist kritisch für Zugriffe zwischen allen Domänen
Flache Gesamt­struktur(Same-Level Forest) Mehrere Domänen, die einen gemeinsamen Forest bilden, werden auf derselben Ebene angeordnet. Die erste Domäne ist die Stammdomäne, aber es gibt keine hierarchische Anordnung. Mehrere Namensräume werden verwendet, aber es gibt ein gemeinsames Schema und einen Globalen Katalog.
  • Mehrere Stamm-Namensräume werden verwendet
  • Keine hierarchische Anordnung von Domänen
  • Unternehmens­gliederungen können als Sicherheits­einheiten getrennt werden
  • Komplexes Design
  • Höherer Aufwand für Hardware und Administration
  • Komplexerer Namensraum
  • Getrennte Sicherheits­bereiche
  • Die Stammdomäne ist kritisch für Zugriffe zwischen allen Domänen
  • Die Forest-Objekte werden durch nur eine Domäne kontrolliert

Weitere Anmerkungen:

  • Keines der Modelle erlaubt eine zukünftige Eingliederung oder Abtrennung von Domänen oder Teilstrukturen. Active Directory ermöglicht nicht die Verbindung getrennter AD-Umgebungen. In solchen Fällen wäre stets eine Migration nötig, in der (mindestens) Teile der Zielumgebung neu aufgebaut werden müssen.
  • Der Replikationsverkehr steht in keinem direkten Zusammenhang mit einem der Modelle. Die AD-Replikation wird ausschließlich durch AD-Standorte (Sites) gesteuert und nicht durch Domänen. Es gibt für die Replikation keine messbaren Vorteile durch ein Modell mit mehr oder weniger Domänen.
  • Jedes der hier vorgestellten Modelle verfügt über ein gemeinsames Schema und einen gemeinsamen Globalen Katalog.
  • Es gibt keinen einfachen Zusammenhang zwischen dem Domänenmodell und der Sicherheit. Kein Domänenmodell ist pauschal „sicherer“ als irgendein anderes.
  • Neben den hier vorgestellten Modellen gibt es zahlreiche Variationsmöglichkeiten. Diese müssen stets auf den Bedarf des Unternehmens abgestimmt werden.

Modelle mit mehreren Forests

Sobald zwei Active-Directory-Domänen unabhängig voneinander installiert wurden, bilden sie jeweils einen eigenen Forest. Active Directory ermöglicht es nicht, eine Domäne aus einem Forest in einen anderen Forest einzugliedern (siehe auch oben). Zwischen Domänen unterschiedlicher Forests können externe Vertrauensstellungen eingerichtet werden, sodas gezielte Ressourcenzugriffe möglich und administrierbar werden. Es gibt jedoch keinen gemeinsamen Global Catalog, kein gemeinsames Schema und keine gemeinsame Konfiguration. Beim Exchange-Einsatz ist zu beachten, dass der Forest die Organisationsgrenze ist: Das Globale Adressbuch etwa enthält nur Einträge aus dem eigenen Forest, und auch das einfache Verschieben von Mailboxen funktioniert nur innerhalb des Forest.

In manchen Situationen gibt es Gründe dafür, innerhalb eines Unternehmens oder Unternehmensverbunds mit mehreren getrennten Forests zu arbeiten. Hier einige Beispiele:

  • Eine Testumgebung oder ein bestimmter Arbeitsbereich sollen vollständig von der Produktivumgebung getrennt werden.
  • Es ist eine wirksame Sicherheitstrennung zwischen mehreren Bereichen nötig. Innerhalb desselben Forests kann ein Administrator einer Domäne sich administrative Rechte in einer anderen Domäne verschaffen (das ist nicht einfach, aber es ist möglich). Nur wenn mit getrennten Forests gearbeitet wird, bestehen echte getrennte Sicherheitsbereiche für die Windows-Ressourcen.
  • Eine Firma schließt sich mit einer anderen zusammen, und beide betreiben bereits ein Active Directory.
  • Es soll auf eine neue Umgebung migriert werden.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!