Active Directory.pdf - Gattner

332 Kapitel 9: Delegieren der Active Directory-Domänendiensteverwaltung
Das Deaktivieren der Vererbung hat folgende Auswirkungen:
• Die Berechtigungen werden für das Objekt und alle untergeordneten Objekte deaktiviert. Dies
bedeutet, dass es nicht möglich ist, die Berechtigungsvererbung auf einer Containerebene zu deaktivieren
und die Vererbung von einem höheren Container anschließend auf einer niedrigeren
Ebene erneut anzuwenden.
• Auch wenn die Berechtigungen vor dem Ändern kopiert werden, beginnt die Berechtigungsvererbung
auf der Ebene, auf der die Berechtigungen deaktiviert werden. Wenn die Berechtigungen auf
einer höheren Ebene geändert werden, werden sie nicht weiter als bis zur Ebene der deaktivierten
Berechtigungen vererbt.
• Es kann nicht ausgewählt werden, welche Berechtigungen deaktiviert werden. Beim Deaktivieren
von Berechtigungen werden alle vererbten Berechtigungen deaktiviert. Berechtigungen, die dem
Objekt oder untergeordneten Objekten explizit zugewiesen wurden, werden nicht deaktiviert.
Hinweis Eine der möglichen Bedenken beim Deaktivieren von vererbten Berechtigungen ist, dass möglicherweise
ein verwaistes Objekt erstellt wird, für das kein Benutzer über Berechtigungen verfügt. Sie können
beispielsweise eine OU erstellen, die Berechtigungsvererbung für diese OU vollständig deaktivieren und
die Berechtigungen einer einzigen Administratorengruppe zuweisen. Sogar die Gruppe Domänen-Admins
kann aus der ACL der OU entfernt werden, sodass die Mitglieder dieser Gruppe unter normalen Bedingungen
über keine Berechtigungen verfügen. Wenn diese Administratorengruppe gelöscht wird, gibt es für
die OU keine Gruppe mit Verwaltungsberechtigungen. In diesem Fall müsste die Gruppe Domänen-Admins
den Besitz des Objekts übernehmen und Berechtigungen neu zuweisen.
Direkt von der Quelle: Delegieren der Verwaltung für ein OU-Modell
Es gibt verschiedene Meinungen dazu, wie ein OU-Modell entworfen und die Delegierung innerhalb
des Modells durchgeführt werden sollte. Die gängigsten Ausgangspunkte für ein OU-Modell
basieren auf Geschäftsfunktion, Geografie oder einer Kombination dieser beiden Faktoren. Ein
Delegierungsmodell kann zentral, dezentral oder zentral mit dezentraler Ausführung aufgebaut
sein. Der Aufbau hängt letztendlich jedoch davon ab, wie ein Kunde operativen Support bereitstellen
möchte.
Wenn die Delegierung in Betracht gezogen wird, befindet sich eine Organisation an einem von
zwei Punkten innerhalb des Active Directory-Lebenszyklus: entweder wird die Migration auf
Active Directory in Erwägung gezogen, oder die Migration auf Active Directory wurde bereits
durchgeführt und nun bietet sich die Möglichkeit, frühere Entscheidungen zu überdenken, um eine
effektivere und effizientere Umgebung bereitzustellen.
Wenn Sie die Migration auf Active Directory in Betracht ziehen, sollten Sie sich so früh und häufig
wie möglich mit dem Kunden besprechen. Ein Verständnis davon, wie Kunden ihre Geschäfte
abwickeln, ist bei der Entwicklung einer funktionierenden und effizienten Infrastruktur entscheidend.
Wenn Sie als Mitarbeiter eines Unternehmens mit der Migration der Umgebung auf Active
Directory beauftragt wurden, gilt dieser Rat ebenso: besprechen Sie sich so früh und häufig wie
möglich mit der oberen Führungsebene, um ein besseres Verständnis davon zu erlangen, wie die
Geschäftsabwicklung aussehen soll. Berücksichtigen Sie bei der Entscheidung, wie die Lösung
aufgebaut werden soll, dass Active Directory aufgrund der äußerst großen Flexibilität eine unbegrenzte
Granularität (Tiefe) und einen uneingeschränkten Umfang (Breite) bieten kann.