Untergeordnete Domäne oder Organisationseinheit (OU / Wann OU statt Domäne?

O

okniloso

Gast
Die Gründe eine in der Praxis eine Organisationseinheit statt einer Domäne einzurichten liegen darin dass:
- kein neuer Server bzw. Domänencontroller benötigt wird
- kein extra Domänenadministrator für die OUs benötigt wird
- keine neuen Gruppenrichtlinien für die Domäne eingerichtet werden müssen

Habt ihr noch weitere Ergänzugen? Mir fällt nichts mehr ein, suche aber mehr dafür und dagegen!

Viele Grüße
 

En3rg1eR1egel

Vice Admiral
Dabei seit
Feb. 2014
Beiträge
6.281
wie wäre es mit etwas mehr kontext ???


da oben steht nur: cola ist leckerer als fanta, weil
-braun
-mehr zucker
-koffein
 

LasseSamenström

Lt. Junior Grade
Dabei seit
Mai 2016
Beiträge
358
Bessere Policies & Preferences der jeweiligen "Abteilungen"

Ein guter sysop will immer eine sortierte "Baumstruktur" haben

//Fällt mir gerade spontan ein
 

RalphS

Lieutenant
Dabei seit
Feb. 2015
Beiträge
693
Pauschal geht das nicht zu beantworten. Man hat üblicherweise Ansprüche und die kann man dann entweder mit der OU oder mit der Subdomain besser abdecken.

Der Rest ist Präferenz.

Subdomain bevorzugt dann, wenn (administrative) Aufgaben delegiert werden sollen. Allgemein isolieren Subdomains besser. Aber dafür ist der Verwaltungsaufwand höher und man braucht den(die) Extra-DC(s).

OUs dann, wenn man vergleichsweise flexibel bleiben will.

Ansonsten kann man das irgendwann zurückführen auf "will ich Volumes oder will ich Verzeichnisse auf meiner Festplatte?" Hat alles Vorteile. Hat aber auch alles Nachteile. Am Ende entscheidet der Bedarf, die Präferenz und - nicht zu unterschätzen -- die Macht der Gewohnheit.
 

crashbandicot

Commander
Dabei seit
Dez. 2013
Beiträge
2.581

RalphS

Lieutenant
Dabei seit
Feb. 2015
Beiträge
693
Ich hatte da ans Stichwort Inter-Domain Trust gedacht, aber, das kann man sicherlich auch anders abdecken.

Wie gesagt, am Ende läuft es darauf raus, was man benötigt. Ne Subdomain kann ich nem Kollegen in die Hand drücken und ihm sagen, mach selber.

Die angesprochene Isolation beschränkt sich icht auf die Sicherheit. Es ist aber ein Sandkasten. VMs isolieren auch einen Gast vom Host; besondere Auswirkungen auf die Sicherheit hat es aber zumindest implizit noch nicht.
 
Zuletzt bearbeitet:

tmkoeln

Captain
Dabei seit
Jan. 2010
Beiträge
3.749
Du kannst die Isolation auch durch Delegation von Verwaltungsrechten an Nutzer machen unterhalb einer OU
 

RalphS

Lieutenant
Dabei seit
Feb. 2015
Beiträge
693
Die man dann im GPO-Modell explizit berücksichtigen muß. Ja, natürlich geht das so, klar; aber die Subdomain stellt mir zB sicher, daß ich hier ne Ansammlung von Nutzerkonten hab und da ne Ansammlung von Nutzerkonten und die sich nicht in die Quere kommen können.

Oder ich bau mir eine Subdomain für Ressourcen und ne Subdomain für Benutzer. Dann kann ich sowas haben wie ralphs@student.uni-jena.de und mueller@dozent.uni-jena.de, die beide über drucker01@ressources.uni-jena.de drucken können.

Andererseits wäre es natürlich albern, für drei Mann und einen Drucker Subdomains anzulegen.
 

crashbandicot

Commander
Dabei seit
Dez. 2013
Beiträge
2.581

TheCadillacMan

Commander
Dabei seit
Juni 2005
Beiträge
2.321
In Reviewing the Domain Models und What Are Domains? steht eigentlich das wichtigste zum Thema.

Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.

Für sowas kann man auch einfach verschiedene UPN-Suffixe nutzen mit weniger Aufwand und ähnlicher (kaum vorhandener Isolation).
Wenn man Ressourcen wirklich isolieren will, kommt eher ein Ressource Forest in Frage.
 

DPXone

Lt. Junior Grade
Dabei seit
Mai 2009
Beiträge
471
Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.
Das konnte man doch jederzeit auch über die Site-Settings regeln, wie oft über welche Strecken zu den einzelnen Sites repliziert wird.
Oder gab es das (ganz) früher auch noch nicht?


NACHTRAG:
Ach hab den Text in den Klammern irgendwie überlesen.
(besonders wenn die Sites richtig konfiguriert sind)
War n langer Tag sorry :freak:
 
Zuletzt bearbeitet:
Top