Domain Struktur einrichten in Active Directory

Die richtige Struktur muss gut überlegt sein

Nach der Entscheidung, welches Forest Modell Ihren Anforderungen am besten unterstützt, stellt sich die Frage nach dem Domänendesign innerhalb des Forest. Ein Active Directory Forest besteht immer aus mindestens einer Domäne. Es ist aber auch möglich, dass ein Forest mehrere Domänen enthält. Auch hier gibt es verschiedene Möglichkeiten, um das Design der Domain Struktur einrichten.

Was passt zu Ihnen? Hier haben wir einige Design-Gedanken für Sie, nach welchen wir die Entscheidung ausrichten würde.

WAN Bandbreite

Bei der Überlegung, ob Sie eine oder mehrere Domänen in einem Forest betreiben, spielt hauptsächlich die Netzwerkbandbreite für die Replikation eine Rolle. Früher sind häufig Domänen für jedes Land, zumindest für jeden Kontinent eingerichtet worden. Die gängigen Bandbreiten der heutigen WAN Leitungen reichen aus, um Domänen mit einer hohen Anzahl von Objekten zu replizieren. Deshalb ist es heute nicht mehr nötig, mehrere Domänen aufzubauen.

Multi Forest vs. Multi Domain

Administrative Trennung

Mehrere Domänen in einem Forest bieten keine absolut sichere Trennung der Administration. Ein Enterprise Admin hat immer die Möglichkeit, sich Zugang zu allen Domänen innerhalb des Forests zu verschaffen. Eine geschützte administrative Trennung kann somit nicht mit mehreren Domänen innerhalb eines Forests erreicht werden. Für eine sichere administrative Trennung empfiehlt sich der Einsatz eines separaten Forests.

Erfahren Sie mehr über Forest Strukturen.

Passwort Richtlinien

Bis zum Domain Functional Level „Server 2008“ war es nicht möglich, unterschiedliche Passwort Richtlinien innerhalb einer AD DS Domäne zu definieren. Wurden unterschiedliche Passwort Richtlinien für Unternehmensbereiche gefordert, so konnte dies nur in einer zusätzlichen Domäne abgebildet werden. Dies hat sich mit Einführung der „Fine Grained PWD Policy“ mit Windows Server 2008 geändert. Sobald der Domain Functional Level auf Server 2008 angehoben wurde, können unterschiedliche Passwort Richtlinien innerhalb einer Domäne festgelegt werden. Passwort Richtlinien sind keine Begründung mehr für eine zusätzliche Domäne. Falls die Bandbreiten und Kapazitäten Ihrer WAN Verbindungen dies zulassen, würden wir ein Single Domain Forest Modell empfehlen.

Die Vorteile eines Single Domain Forest Modells:

• Kosteneffizienz durch minimalen administrativen Overhead
• Informationen werden an alle Standorte mit Domain Controllern repliziert.

Die Gründe für ein Multi Domain Forest Modell sind:

• Verringerung des Replikationsdatenverkehrs
• Einschränkung der Replikation auf eine Region

Domain Modelle

Bei einem Multi Domain Forest gibt es verschiedene Konstellationen für die Einrichtung der Domäne Struktur. Da alle Domänen innerhalb eines Forests automatisch mit einer transitiven Vertrauensstellung verbunden sind, unterscheiden sich die Konstellationen in ihrer Funktionalität nur geringfügig.

1. Dedicated Empty Root Domain

Die wesentliche Entscheidung bei der Auswahl des Domänen Modells besteht darin, sich für oder gegen eine Empty Root Domain zu entscheiden. Die Root Domain ist die erste Domäne, welche in einem neuen Forest installiert wird. Vor einiger Zeit war es best practice, eine dedizierte Root Domäne einzuführen. Mittlerweile gehen hier die Meinungen auseinander, mit einer Tendenz dazu, keine dedizierte Root Domäne einzusetzen.

Es gibt wesentliche Gründe für den Einsatz einer Empty Root Domain.
Wir erklären Ihnen diese gern, kontaktieren Sie uns einfach.

2. Multiple Top Level Domain Modell

Grundsätzlich können Domänen in einem Forest parallel zu einander, also im „Multiple Top Level Domain Model“ oder in einem Baum bzw. Tree aufgesetzt werden.

Mehrere Domänen können auf gleicher Ebene parallel zueinander erstellt und verwaltet werden. Dies ist ähnlich wie eine Multi Forest Umgebung. Allerdings ist hier keine sichere Trennung der Administration gegeben. Schemaänderungen in der einen Domäne betreffen auch hier die andere Domäne.

Eine Besonderheit ist, dass die Domänen der ersten Ebene unterschiedliche Namensräume abbilden können. So kann z.B. eine Domäne den Namen MeinFirma.net tragen und eine andere parallele Domäne im gleichen Forest kann den Namensraum MyCompany.com abbilden.

3. Child Domain Modell

Eine weitere Möglichkeit, ist das Root und Child Domain Modell. Ein Bestandteil ist eine übergeordnete Root Domäne (Empty Root Domain). Diese ist meist leer. Es befinden sich in ihr lediglich Administrationskonten. Sie dient dazu, die sensiblen administrativen Rollen des Forests (z.B. Enterprise Admins) in einer eigenen Domäne zu schützen.

Die Child Domain dient dann als produktive Domäne. Sie enthält die Benutzerkonten der Anwender. Dieses Modell ist nicht populär.

4. One Root Domain Multiple Child Domains Modell

One Root Domain Multiple Child Domains wird öfter in großen Umgebungen genutzt. Hier gibt es eine Empty Root Domain für den Konzern unter der mehrere Child Domänen hängen. Etwa pro Land eine oder pro Kontinent. Dieses Modell ist eine Erweiterung des Root Child Modells.

Hier gibt es Besonderheiten im Vergleich zum Multiple Root Modell, die wir Ihnen gern erklären.

Je komplizierter die Domain-Struktur ist, desto schwieriger ist es den Überblick zu behalten. Daten im AD zu pflegen kann generell nur die IT-Abteilung. Identity Management Systeme helfen, die AD Verwaltung zu erleichtern. Wir beraten Sie gerne, über die verschiedenen Möglichkeiten.

Weitere Infos

Welche Domain Struktur eignet sich am besten? Wir unterstützen Sie gern beim Design Ihrer Domain Struktur.