Untergeordnete Domäne oder Organisationseinheit (OU / Wann OU statt Domäne?

okniloso · 20. September 2017

Die Gründe eine in der Praxis eine Organisationseinheit statt einer Domäne einzurichten liegen darin dass:
- kein neuer Server bzw. Domänencontroller benötigt wird
- kein extra Domänenadministrator für die OUs benötigt wird
- keine neuen Gruppenrichtlinien für die Domäne eingerichtet werden müssen

Habt ihr noch weitere Ergänzugen? Mir fällt nichts mehr ein, suche aber mehr dafür und dagegen!

Viele Grüße

En3rg1eR1egel · 20. September 2017

wie wäre es mit etwas mehr kontext ???

da oben steht nur: cola ist leckerer als fanta, weil
-braun
-mehr zucker
-koffein

LasseSamenström · 20. September 2017

Bessere Policies & Preferences der jeweiligen "Abteilungen"

Ein guter sysop will immer eine sortierte "Baumstruktur" haben

//Fällt mir gerade spontan ein

RalphS · 20. September 2017

Pauschal geht das nicht zu beantworten. Man hat üblicherweise Ansprüche und die kann man dann entweder mit der OU oder mit der Subdomain besser abdecken.

Der Rest ist Präferenz.

Subdomain bevorzugt dann, wenn (administrative) Aufgaben delegiert werden sollen. Allgemein isolieren Subdomains besser. Aber dafür ist der Verwaltungsaufwand höher und man braucht den(die) Extra-DC(s).

OUs dann, wenn man vergleichsweise flexibel bleiben will.

Ansonsten kann man das irgendwann zurückführen auf "will ich Volumes oder will ich Verzeichnisse auf meiner Festplatte?" Hat alles Vorteile. Hat aber auch alles Nachteile. Am Ende entscheidet der Bedarf, die Präferenz und - nicht zu unterschätzen -- die Macht der Gewohnheit.

crashbandicot · 22. September 2017

RalphS schrieb:
Allgemein isolieren Subdomains besser.

Das ist leider falsch. Subdomains bringen keinerlei Mehrwert in Bezug auf Sicherheit.

RalphS · 23. September 2017

Ich hatte da ans Stichwort Inter-Domain Trust gedacht, aber, das kann man sicherlich auch anders abdecken.

Wie gesagt, am Ende läuft es darauf raus, was man benötigt. Ne Subdomain kann ich nem Kollegen in die Hand drücken und ihm sagen, mach selber.

Die angesprochene Isolation beschränkt sich icht auf die Sicherheit. Es ist aber ein Sandkasten. VMs isolieren auch einen Gast vom Host; besondere Auswirkungen auf die Sicherheit hat es aber zumindest implizit noch nicht.

itm · 2. Oktober 2017

Du kannst die Isolation auch durch Delegation von Verwaltungsrechten an Nutzer machen unterhalb einer OU

RalphS · 5. Oktober 2017

Die man dann im GPO-Modell explizit berücksichtigen muß. Ja, natürlich geht das so, klar; aber die Subdomain stellt mir zB sicher, daß ich hier ne Ansammlung von Nutzerkonten hab und da ne Ansammlung von Nutzerkonten und die sich nicht in die Quere kommen können.

Oder ich bau mir eine Subdomain für Ressourcen und ne Subdomain für Benutzer. Dann kann ich sowas haben wie ralphs@student.uni-jena.de und mueller@dozent.uni-jena.de, die beide über drucker01@ressources.uni-jena.de drucken können.

Andererseits wäre es natürlich albern, für drei Mann und einen Drucker Subdomains anzulegen.

crashbandicot · 5. Oktober 2017

RalphS schrieb:
aber die Subdomain stellt mir zB sicher, daß ich hier ne Ansammlung von Nutzerkonten hab und da ne Ansammlung von Nutzerkonten und die sich nicht in die Quere kommen können.

Die Subdomain trennt nur optisch, technisch gesehen ist das alles murks. Stichwort ESAE.

TheCadillacMan · 5. Oktober 2017

In Reviewing the Domain Models und What Are Domains? steht eigentlich das wichtigste zum Thema.

Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.

RalphS schrieb:
Dann kann ich sowas haben wie ralphs@student.uni-jena.de und mueller@dozent.uni-jena.de, die beide über drucker01@ressources.uni-jena.de drucken können.

Für sowas kann man auch einfach verschiedene UPN-Suffixe nutzen mit weniger Aufwand und ähnlicher (kaum vorhandener Isolation).
Wenn man Ressourcen wirklich isolieren will, kommt eher ein Ressource Forest in Frage.

DPXone · 10. Oktober 2017

TheCadillacMan schrieb:
Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.

Das konnte man doch jederzeit auch über die Site-Settings regeln, wie oft über welche Strecken zu den einzelnen Sites repliziert wird.
Oder gab es das (ganz) früher auch noch nicht?

NACHTRAG:
Ach hab den Text in den Klammern irgendwie überlesen.

(besonders wenn die Sites richtig konfiguriert sind)

War n langer Tag sorry

Suche

Untergeordnete Domäne oder Organisationseinheit (OU / Wann OU statt Domäne?

okniloso

Gast

En3rg1eR1egel

Banned

LasseSamenström

Lieutenant

RalphS

Gast

crashbandicot

Captain

RalphS

Gast

itm

Commodore

RalphS

Gast

crashbandicot

Captain

TheCadillacMan

Captain

DPXone

Lieutenant

Ähnliche Themen