Active Directory.pdf - Gattner

Ändern der Domänenhierarchie nach der Bereitstellung
Entwerfen der Domänenstruktur 177
Hinweis Da Shortcutvertrauensstellungen zusätzlichen Verwaltungsaufwand bedeuten, sollten sie nur bei
Bedarf implementiert werden. Sie sind nur dann nötig, wenn der Vertrauenspfad mehr als vier oder fünf
Domänen umfasst und wenn Benutzer sich häufig an anderen Domänen als der eigenen anmelden oder auf
darin befindliche Ressourcen zugreifen.
Ihr Domänenplan sollte vor Beginn der Bereitstellung abgeschlossen sein, weil die Domänenkonfiguration
nach der Bereitstellung nur noch schwer geändert werden kann. Bei Windows Server 2003 oder
höher können Sie Domänen in einer Gesamtstruktur umbenennen, die auf der Funktionsebene Windows
Server 2003 oder Windows Server 2008 ausgeführt wird. Wenn Sie Domänen umbenennen, können
Sie eine Domäne aus einer Struktur in eine andere Innerhalb der Gesamtstruktur verschieben,
haben jedoch nicht die Möglichkeit, die Gesamtstruktur-Stammdomäne zu ersetzen. Es ist außerdem
nicht möglich, Domänen über das Domänenumbenennungstool der Gesamtstruktur hinzuzufügen oder
daraus zu entfernen.
Der Vorgang zur Domänenumbenennung ist komplex und seine Planung und Ausführung erfordert ein
hohes Maß an Umsicht. Außerdem verhält sich der für eine vollständige Domänenumbenennung
erforderliche Zeitraum direkt proportional zur Größe einer Active Directory-Gesamtstruktur in Bezug
auf die Anzahl der Domänen, Domänencontroller und Mitgliedscomputer.
Weitere Informationen Einzelheiten zum Umbenennen von Domänen finden Sie unter „Domain Rename
Technical Reference“ unter http://technet2.microsoft.com/windowsserver/en/library/35e63f1e-f097-4c9ca788-efc840d781931033.mspx?mfr=true.
Definieren des Domänenbesitzes
Jeder der im AD DS-Entwurf enthaltenen Domänen müssen Sie einen Domänenbesitzer zuweisen. In
den meisten Fällen sind die Domänenbesitzer Administratoren der Geschäftseinheit oder die Administratoren
in der geografischen Region, in der die Domäne definiert wurde.
Hinweis Wenn Sie eine dedizierte Stammdomäne einsetzen, sind die Domänenbesitzer der Domäne
gleichzeitig die Gesamtstrukturbesitzer. Die einzigen echten Funktionen, die in einer dedizierten Stammdomäne
durchgeführt werden, sind Gesamtstrukturfunktionen; es ist daher sinnvoll, dass die Gesamtstrukturbesitzer
auch die Stammdomäne besitzen.
Die Rolle des Domänenbesitzers ist die Verwaltung der einzelnen Domäne. Zu seinen Aufgaben zählen
Folgende:
• Erstellen von Sicherheitsrichtlinien auf Domänenebene Hierzu gehören Kennwortrichtlinien, Kontosperrungsrichtlinien
und Kerberos-Ticketrichtlinien.
• Entwerfen der Gruppenrichtlinienkonfiguration auf Domänenebene Der Domänenbesitzer kann die
GPOs (Gruppenrichtlinienobjekte) für die gesamte Domäne entwerfen und das Recht zum Verknüpfen
von GPOs und OUs an Administratoren auf OU-Ebene delegieren.
• Erstellen der obersten OU-Struktur in der Domäne Nach der Erstellung der obersten OU-Struktur
kann die Aufgabe zum Erstellen untergeordneter OUs den Administratoren auf OU-Ebene übertragen
werden.
• Delegieren administrativer Rechte innerhalb der Domäne Der Domänenbesitzer sollte die administrativen
Richtlinien für die Domänenebene festlegen (inkl. Richtlinien zur Benennung von Schemata,
Gruppenaufbau etc.) und anschließend Rechte an Administratoren auf OU-Ebene delegieren.