Active Directory.pdf - Gattner

Einzelne oder mehrere Gesamtstrukturen
Entwerfen der Gesamtstruktur 157
Wie zuvor erwähnt, ist die wichtigste Frage bei der Erstellung Ihres Gesamtstrukturentwurfs die nach
der Anzahl an Gesamtstrukturen. Diese Entscheidung sollte vor der Bereitstellung getroffen werden,
weil sie nach der Bereitstellung nur schwer geändert werden kann. Es gibt keinen einzelnen Schritt
zum Zusammenführen von Gesamtstrukturen; stattdessen müssen Sie alle Objekte, die Sie in die neue
Gesamtstruktur aufnehmen möchten, aus der alten Gesamtstruktur verschieben. Außerdem kann eine
einzelne Gesamtstruktur nicht einfach in zwei Gesamtstrukturen aufgeteilt werden. Sie müssen
zunächst eine separate Gesamtstruktur erstellen und anschließend Objekte von einer in die andere
verschieben.
Die übliche Bereitstellung einer AD DS-Gesamtstruktur ist eine einzige Gesamtstruktur. Für die meisten
Unternehmen überwiegen die Vorteile eines gemeinsam genutzten globalen Katalogs, vorgegebener
Vertrauensstellungen und einer gemeinsamen Konfigurationsverzeichnispartition gegenüber der
Verwaltung einer völligen Trennung sämtlicher administrativer Rollen. Wenn Sie am Entwurf der AD
DS arbeiten, sollte Ihre erste Wahl immer der Einsatz einer einzigen Gesamtstruktur sein. Gehen Sie
zunächst von einer einzigen Gesamtstruktur aus, und seien Sie darauf vorbereitet, sich vielleicht von
einer anderen Lösung überzeugen zu lassen.
Andererseits gibt es klare Situationen, in denen mehrere Gesamtstrukturen die beste Option darstellen:
• Einige Unternehmen setzen separate AD DS-Gesamtstrukturen in Umkreisnetzwerken (oder
entmilitarisierten Zonen) ein. Die meisten Unternehmen verwenden Server, die direkt über das
Internet in einem Umkreisnetzwerk zugänglich sein müssen, um eine zusätzliche Sicherheitsstufe
für das interne Netzwerk zu gewährleisten. Diese Server können als eigenständige Server
eingesetzt werden; durch Bereitstellung einer separaten AD DS-Gesamtstruktur im Umkreisnetzwerk
können Sie jedoch von den AD DS-Funktionen zur Computer- und Benutzerverwaltung
profitieren und gleichzeitig die Isolation von der internen AD DS-Gesamtstruktur sicherstellen.
• Einige Unternehmen stellen keine hohen Anforderungen an die Zusammenarbeit zwischen den
internen Abteilungen. In manchen Unternehmen arbeiten Geschäftseinheiten relativ unabhängig
voneinander, und es werden abgesehen von E-Mails nur wenige Informationen ausgetauscht. Diesen
Unternehmen gehen durch den Einsatz mehrerer Gesamtstrukturen keine Vorteile verloren.
• Manche Unternehmen benötigen eine völlige Trennung von Netzwerkinformationen. Aus Sicherheits-
oder rechtlichen Gründen kann ein Unternehmen gezwungen sein sicherzustellen, dass
einige Netzwerkdaten niemandem außerhalb der Geschäftseinheit zugänglich sind. Standardmäßig
sind die Informationen in einer Gesamtstruktur in keiner anderen Gesamtstruktur sichtbar.
• Einige Unternehmen benötigen nicht kompatible Schemakonfigurationen. Wenn zwei Teile des
Unternehmens ein jeweils eigenes Schema verlangen, weil sie Anwendungen einsetzen, die nicht
kompatible Änderungen am Schema vornehmen, müssen separate Gesamtstrukturen erstellt werden.
• Manche Unternehmen können sich nicht auf eine zentrale Verwaltung einigen. Wenn Geschäftseinheiten
sich nicht auf Richtlinien zur Änderungskontrolle für Gesamtstruktur oder Schema oder
auf eine zentrale Verwaltung einigen können, müssen Sie separate Gesamtstrukturen bereitstellen.
• Einige Unternehmen müssen das Ausmaß an Vertrauensstellungen begrenzen. Innerhalb einer
Gesamtstruktur teilen alle Domänen eine transitive Vertrauensstellung, die nicht aufgehoben werden
kann. Wenn Ihre Netzwerkumgebung eine Vertrauensstellungskonfiguration verlangt, bei der
es keine bidirektionalen transitiven Vertrauensstellungen zwischen allen Domänen geben darf,
müssen mehrere Gesamtstrukturen eingerichtet werden.