Forest Struktur definieren in Active Directory

Welche Forest Struktur passt zu Ihnen?

Ein Active Directory Forest ist die höchste Organisationsebene in einer AD Struktur. Er umfasst eine oder mehrere Domänen und kann mit anderen Forests über eine Vertrauensstellung (Trust) verbunden werden. Wir helfen Ihnen bei der Entscheidungsfindung. Welche Forest Struktur Sie definieren und ob Sie einen oder mehrere Forests einsetzen sollten.

Im Folgenden geben wir Ihnen einen Einblick in den Entscheidungsprozess. Er könnte beispielhaft in einem Active Directory Projekt Workshop zum AD Design   einfließen.

Wir sprechen zunächst mit Ihnen die Anforderungen ab. Im Anschluss schlagen wir Ihnen geeignete Möglichkeiten vor. Bei der Umsetzung unterstützen wir Sie ebenfalls gern.

Gemeinsam genutzte Infrastruktur vs. eigenständiger Betrieb

Zunächst sollten Sie sich die Frage stellen, ob Sie eine gemeinsam genutzte Infrastruktur wollen? Oder ob ein eigenständiger Betrieb verschiedener Unternehmensteile notwendig ist?

Ein Forest stellt eine administrative und organisatorische Grenze dar. Das bedeutet eine 100%ige Trennung zwischen den Administratoren des jeweiligen Forests.

Es ist möglich, die Forests über Vertrauensstellungen zu verbinden. Benutzern wird auf diese Weise Zugang zu Resourcen des anderen Forests ermöglicht. Ein Enterprise Admin eines Forests hat jedoch nicht automatisch Berechtigungen in einem vertrauten Forest. Er kann sich diese auch nicht ohne Weiteres selbst beschaffen.

Besteht keine Vertrauensstellung, so ist für die Administration ein dedizierter Account in dem jeweiligen Forest nötig. Innerhalb eines Forests kann sich ein Enterprise Administrator Zugang zu allen Domänen dieses Forests verschaffen.

Wie ist es nun für Sie richtig und sinnvoll?

Wir finden zusammen die beste Lösung, fragen Sie uns einfach.

Schema Erweiterungen

Getrennte Active Directory Schemata können ein weiterer Grund für den Aufbau mehrerer Forests sein. In einem Forest teilen sich alle Domänen des Forests das gleiche Schema. Das Anpassen einer einzelnen Domäne ist nicht möglich. Um diese Möglichkeit zu erhalten, benötigen Sie einen eigenständigen Forest.

Single Forest Modell

Ein Single Forest besteht, wie der Name schon sagt, aus einem einzigen Forest. Dies ist die bevorzugte Wahl für die meisten Unternehmen. Sofern keine Notwendigkeit für eine administrative Trennung oder ein separates Schema besteht. Ein Single Forest bedeutet nicht, dass innerhalb diesem nicht mehrere Domänen vorhanden sein können. In einem Single Forest teilen sich alle Domänen das gleiche Schema.

Die Vorteile für einen Single Forest sind:

• kosteneffizient
• wenig administrativer Overhead
• gemeinsamer Global Catalog

Multi Forest Modell

Es gibt verschiedene Gründe, warum Sie von dem Standard Modell des Single Forests abweichen sollten. Nachfolgend sind die häufigsten Multi Forest Modelle mit ihren Nutzen dargestellt:

• Trusted Forest
• Resource Forest
• Secured Forest

Trusted Forest Modell

Ein Trusted Forest Modell besteht aus mindestens zwei Forests. Diese sind über einen Forest Trust miteinander verbunden. Ein Forest Trust ist sinnvoll, wenn ein Teil der Organisation autonom, isoliert und eigenständig betrieben werden soll. Ein Zugriff auf Ressourcen ist über den Forest Trust dennoch möglich.

Resource Forest Modell

Das Resource-Forest Modell ist eine andere Forest Struktur, die Sie definieren können. Der Fokus sind Ressourcen in einem eigenen Forest. Es wird z.B. die Exchange Organisation in einem Resource-Forest installiert und von Anwendern in einem oder mehreren Forests genutzt. Der Resource-Forest enthält im Wesentlichen nur administrative Benutzerkonten.

In der Praxis wird dieses Modell gerne gewählt, um Service Provider Szenarien abzubilden. Der Service Provider verwaltet die Services. Diese werden zur Verfügung gestellt, in einem dedizierten Ressource-Forest. Hier kann eine sichere administrative Trennung erfolgen. Ein weiteres Anwendungsbeispiel ist die Abschirmung von produktionsrelevanten Systemen in einem kleineren eigenständigen Resource-Forest. Ein Ausfall eines größeren Forest kann einige Zeit für den Restore in Anspruch nehmen. Bei einem Ausfall des Haupt-Forests bleibt der Resource-Forest jedoch in Betrieb und die Produktion läuft weiter.

Secured Forest Modell

Das Secured Forest Model unterscheidet sich vom Trusted Forest Modell dadurch, dass der sichere (secured) Forest keine Vertrauensstellung zu anderen Forests hat. Zur Nutzung von Ressourcen sind zusätzliche Benutzerkonten in einer Domäne des Secured Forest nötig.

Ein praktischer Anwendungsfall ist die Absicherung von Anwendungen und Daten mit einer höheren Sicherheitsklassifizierung. Eine weitere Erhöhung der Sicherheit kann durch den Einsatz von dedizierten Netzwerksegmenten, welche durch Firewalls separiert sind, erfolgen.

Je komplizierter das Forest Modell, desto schwieriger ist es den Überblick zu behalten. Ein strukturiertes Forest Modell ist wichtig, allerdings nur sinnvoll, wenn die Daten regelmäßig aktualisiert werden. Identity Management Systeme können Ihnen helfen, eine höhe Daten Qualität zu behalten.

Weitere Infos

Was ist das richtige Forest Modell? Sie sehen Vor- und Nachteile in den einzelnen Möglichkeiten?
Teilen Sie uns kurz mit, wofür Sie Unterstützung brauchen. Wir freuen uns auf Ihren Anruf oder Ihre Nachricht.