Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Wie dieses Buch aufgebaut ist
1 Die Grundinstallation des Windows Server
2 Die Implementierung des Active Directory
3 Windows Server 2003 R2
4 Die Installation der Exchange-Organisation
5 Client-Zugriffslizenzen für Windows Server und Exchange Server eingeben
6 Den Server und die Clients remote verwalten
7 Die Installation des Remote Installation Service RIS
8 Die RIS-Installation eines Windows-XP-Professional-Clients
9 Alternative zur RIS-Installation des Musterclients
10 Einführung in Gruppenrichtlinien
11 Die Gruppenrichtlinien von Windows XP einsetzen
12 Eigene Vorlagedateien für fehlende Gruppenrichtlinien
13 Microsoft Office im Netzwerk
14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse
15 Das Anmeldeskript
16 Über das Anmeldeskript Anwendungen und Service Packs verteilen
17 Die Erstellung des Komplettabbildes
18 Strategische Überlegungen und Tipps
19 Namenskonventionen für Active-Directory-Objekte
20 Gruppen und Gruppenverschachtelung
21 Access-based Enumeration ABE
22 Netzwerkdrucker einrichten
23 Betriebsmasterfunktionen und der globale Katalogserver
24 Serverdienste und Ausfallsicherheit
25 Active-Directory-Modelle zur Verteilung der Serverfunktionen
26 Der Ausbau der Exchange Server-Organisation
27 Outlook und öffentliche Exchange-Ordner praxisnah nutzen
28 Exchange-Administrationsaufgaben
29 Hinweise zur Exchange-Installation und –Migration
30 Sicherheit im verteilten Active Directory
31 Einstieg in die Projektierung
32 Informationstechnologie und Recht
Index

Ihre Meinung?
 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Rheinwerk Computing
ISBN 3-89842-847-8
>>Jetzt Buch bestellen!
gp Kapitel 20 Gruppen und Gruppenverschachtelung
  gp 20.1 Gruppentypen und Gruppenbereiche
  gp 20.2 Altlasten aus Windows-NT-4.0-Domänen
  gp 20.3 Sicherheitsgruppen im Active Directory
  gp 20.4 Umwandlung von Gruppen
  gp 20.5 Globale oder universelle Gruppenbereiche verwenden
  gp 20.6 Einige Ratschläge zur Auswahl des Gruppentyps und des Gruppenbereichs


Rheinwerk Computing

20.3 Sicherheitsgruppen im Active Directory  toptop

In Active Directory sieht die Sache ein wenig anders aus: Die Anzahl von Konten in einem Domänenwald ist faktisch unbeschränkt, ein Grund, möglichst wenig Domänen in der Gesamtstruktur anzulegen und stattdessen OUs zur Strukturierung zu nutzen.

Lokale Gruppen können nicht nur ineinander verschachtelt werden. Man spricht jetzt auch von domänenlokalen Sicherheitsgruppen, was nichts anderes bedeutet, als dass auch die lokalen Gruppen jetzt im Active Directory und nicht mehr in der lokalen Sicherheitsdatenbank verwaltet werden. Das wiederum bedeutet, dass einer lokalen Gruppe nun Rechte für beliebige Ressourcen innerhalb der Domäne zugewiesen werden können, in der sie erstellt wurde. Die lokale Gruppe ist also nicht mehr an einen speziellen Server gebunden.

Ebenso können globale Gruppen einer Domäne ineinander verschachtelt werden. Im einheitlichen Modus kann die globale Gruppe ein Mitglied von globalen, lokalen oder universalen Gruppen in der gleichen Domäne sein. Eine globale Gruppe der Domäne X kann aber auch ein Mitglied von universalen oder lokalen Gruppen einer anderen Domäne Y sein, wenn beide Domänen zur selben Gesamtstruktur gehören. Eine globale Gruppe der Domäne X kann aber nicht ein Mitglied einer globalen Gruppe einer anderen Domäne sein.

Universale Gruppen werden zur Zusammenfassung von Gruppen aus unterschiedlichen Domänen zu einer administrativen Einheit verwendet. Eine Liste der Mitgliedschaften in universalen Gruppen wird im globalen Katalog verwaltet. Änderungen an den Daten, die im globalen Katalog gespeichert werden, werden zu jedem globalen Katalog in einer Gesamtstruktur repliziert. Indem die Verwendung universaler Gruppen minimiert wird, kann die Replikationsaktivität im Wesentlichen auf eine einzelne Domäne beschränkt werden.

Sollten Sie aus diesem Grunde aber die Anzahl der universalen Gruppen minimieren? Repliziert werden immer nur Änderungen auf Attributsebene, nicht aber das ganze Objekt. Wenn sich also die Telefonnummer oder der Nachname eines Benutzers ändert, so wird nur diese Attributsänderung über Domänengrenzen hinweg weitergegeben, es wird aber nicht das ganze Objekt mit all seinen Attributsinhalten erneut repliziert. Sobald Ihre Gesamtstruktur steht, alle Benutzer angelegt und die Gruppenmitgliedschaften definiert wurden, nimmt der Replikationsverkehr drastisch ab, es sei denn, Sie arbeiten in einer Organisation, in der eine hohe Personalfluktuation herrscht oder permanent umstrukturiert wird, etwa wegen Firmenfusionen, Firmenauflösungen oder sich ständig und in großer Zahl ändernden Projektgruppen und Mitgliedschaften in temporären Projektgruppen.

Das Konzept, Benutzer nur in globale Gruppen aufzunehmen, diese globalen Gruppen wiederum zu Mitgliedern von lokalen Gruppen zu machen und nur den lokalen Gruppen Rechte zu Ressourcen zuzuweisen, führt damit zu einer unnötigen Komplexität, die eigentlich nur berechtigt ist, solange Sie sich in der Umbauphase von Windows-NT-4.0-Domänen zu einem Active Directory befinden.


Haben Sie diese Altlasten nicht oder führen Sie statt einer Migration (Update von alten NT-4.0-Domänencontrollern auf Windows 2003 Server) das neue System Active Directory parallel ein und ersetzen schlagartig statt über die »sanfte Migration« ein lokales Netzwerk durch Active Directory, so können Sie das neue System sofort im einheitlichen Modus, seit Windows Server 2003 »Domänenfunktionsebene Windows Server 2003« genannt, fahren und alle Vorteile nutzen.

Ich rate Ihnen dazu, diesen Weg zu gehen. Oft sind die alten NT-4.0-Server vom Stand der Technik her überaltert. Serverhardware verliert pro Jahr ungefähr 50 Prozent an Wert. Schon allein deshalb sind der Aufwand und das Risiko, alte Windows-NT-4.0-Server mühselig auf Windows Server 2003 zu updaten, oft unakzeptabel. Sie können besser die alte Serverhardware für andere Zwecke weiterverwenden und parallel zur alten Windows-4.0-Domäne ein sauberes Active Directory auf neuer Serverhardware im einheitlichen Modus hochziehen, mit Testkennungen und Testgruppen durchtesten und dann eine Abteilung nach der anderen schlagartig umstellen. Bei dieser Umstellung werden Sie dann auch die Workstations z.B. mit einem RIS-Abbild innerhalb kurzer Zeit auf das aktuelle Betriebssystem und die aktuelle Office-Version umstellen und dabei überalterte Client-Hardware aussondern.


Die Kenntnisse, die Ihre Mitarbeiter sich aneignen müssen, um die Besonderheiten eines Gemischtmodus von Active Directory und alter NT-4.0-Domänenlandschaft sowie einem Gemischtmodus von Exchange 2003 und Exchange 5.0/5.5 zu beherrschen, sind enorm. Der Gemischtbetrieb ist fehleranfällig.

Versuchen Sie darüber hinaus auch noch, Netware-Netze zu integrieren, so werden Sie mit großer Wahrscheinlichkeit irgendwo im Umstellungsprozess stecken bleiben und nie zu sauberen und überschaubaren Strukturen gelangen. Vor allem wird es Ihnen nicht gelingen, eine Dokumentation zu erstellen, die alle Zwischenschritte mit allen Besonderheiten darstellt und auf dem Weg zum einheitlichen Modus ständig mitgepflegt wird. Und denken Sie daran, dass auch die für die Verwaltung von Active Directory bestimmenden Elemente wie Gruppenrichtlinien, OUs, Zuweisung von Verwaltungsaufgaben über OUs für Server und Clients unter Windows NT 4.0 nicht wirken.
 << zurück
  
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchtipps
Zum Rheinwerk-Shop: Windows Server 2012 R2






 Windows Server
 2012 R2
Zum Rheinwerk-Shop: Office 365






 Office 365
Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V
Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker
Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren
 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo



Copyright © Rheinwerk Verlag GmbH 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern