Active Directory.pdf - Gattner

Definieren der Verzeichnisdienstanforderungen 151
• Konfiguration der Domänencontroller und globalen Katalogserver: Während Sie die einzelnen
Active Directory-Standorte analysieren, dokumentieren Sie die Konfiguration und den physischen
Standort jedes Domänencontrollers und jedes globalen Katalogservers. Stellen Sie im
Zuge der Domänencontrollerdokumentation fest, welche Domänencontroller die Betriebsmasterrollen
der Gesamtstruktur und Domänen hosten.
• Inhaber der FSMO-Rolle: AD DS stellen eine Reihe von Betriebsmasterrollen zur Verfügung, und
es ist wichtig zu wissen, welche Domänencontroller in der Domäne oder in der Gesamtstruktur
diese Rollen ausführen.
• Zeitdienstkonfiguration: Die Zeitsynchronisierung ist in einer AD DS-Umgebung von Bedeutung,
daher sollten Sie prüfen, wie der Zeitdienst in Ihrer Gesamtstruktur konfiguriert ist.
• Konfiguration der Organisationseinheiten (Organizational Units, OU): Dokumentieren Sie bei der
Domänenanalyse die aktuelle OU-Struktur. Dokumentieren Sie für jede Organisationseinheit die
Position in der Domänenhierarchie, den Zweck jeder Organisationseinheit sowie die delegierten
Berechtigungen und verknüpften Gruppenrichtlinienobjekte (Group Policy Objects, GPOs).
• Konfiguration der Gruppenrichtlinien: Viele Unternehmen verwenden die Active Directory-Gruppenrichtlinie,
um eine zentrale Verwaltung und Sicherheit der Benutzer, Gruppen und Computer
sowie weiterer Verzeichnisobjekte bereitzustellen. Dokumentieren Sie die GPOs, den Zweck jedes
Gruppenrichtlinienobjekts, die Vererbungs- und Filtereinstellungen der einzelnen GPOs und die
GPO-Einstellungen.
• Active Directory-Gruppen: Dokumentieren Sie die Gruppenkonfiguration, einschließlich des
Gruppenbereichs und -typs, der Gruppenbesitzer und der Mitgliedschaftsliste sowie der Verwendungsart
der Gruppe. Dies ist vor allem für alle Gruppen mit Administratorrechten von Bedeutung.
Auf der DVD Sie können die Datei CurrentDirectoryEnviroment.xlsx auf der CD nutzen, um die aktuelle
Active Directory-Umgebung zu dokumentieren.
Aktuelle Active Directory-Konfiguration und der AD DS-Entwurf
Eine wichtige Anforderung beim AD DS-Entwurf besteht darin, den optimalen Entwurf für ein
Netzwerk abzuwägen, in dem AD DS bereits eingesetzt werden. Berücksichtigen Sie bei der Vorbereitung
des AD DS-Entwurfs den aktuellen Active Directory-Aufbau und die Auswirkungen
einer Migration von dieser Infrastruktur auf einen anderen AD DS-Entwurf. Die aktuelle Domänenstruktur
ist vielleicht nicht ideal. Es ist jedoch bedeutend einfacher (und preiswerter), die aktuellen
Domänen nur zu aktualisieren, als die ideale AD DS-Struktur zu erstellen und anschließend
sämtliche Domänenobjekte auf die neuen Domänen zu migrieren. Das heißt, dass Sie unter
Umständen gezwungen sind, mit einer weniger idealen AD DS-Struktur zu arbeiten, weil Sie die
aktuellen Domänen aktualisieren müssen. Natürlich könnten Sie auch zu dem Schluss kommen,
dass die aktuelle Struktur so weit von einer idealen Struktur entfernt ist, dass sich der zusätzliche
Aufwand und die Kosten für die Umstrukturierung sämtlicher Domänen lohnen. Im Normalfall ist
die aktuelle Struktur wahrscheinlich nahezu akzeptabel, Sie würden jedoch einige Änderungen vornehmen
wollen. In diesem Szenario könnten Sie eine oder mehrere Domänen aktualisieren und
anschließend andere Domänen mit den aktualisierten Domänen zusammenführen.