Untergeordnete Domäne oder Organisationseinheit (OU / Wann OU statt Domäne?

okniloso

Cadet 3rd Year
Dabei seit
Juli 2017
Beiträge
32
#1
Die Gründe eine in der Praxis eine Organisationseinheit statt einer Domäne einzurichten liegen darin dass:
- kein neuer Server bzw. Domänencontroller benötigt wird
- kein extra Domänenadministrator für die OUs benötigt wird
- keine neuen Gruppenrichtlinien für die Domäne eingerichtet werden müssen

Habt ihr noch weitere Ergänzugen? Mir fällt nichts mehr ein, suche aber mehr dafür und dagegen!

Viele Grüße
 
Dabei seit
Feb. 2014
Beiträge
5.083
#2
wie wäre es mit etwas mehr kontext ???


da oben steht nur: cola ist leckerer als fanta, weil
-braun
-mehr zucker
-koffein
 
Dabei seit
Mai 2016
Beiträge
218
#3
Bessere Policies & Preferences der jeweiligen "Abteilungen"

Ein guter sysop will immer eine sortierte "Baumstruktur" haben

//Fällt mir gerade spontan ein
 

RalphS

Lt. Junior Grade
Dabei seit
Feb. 2015
Beiträge
290
#4
Pauschal geht das nicht zu beantworten. Man hat üblicherweise Ansprüche und die kann man dann entweder mit der OU oder mit der Subdomain besser abdecken.

Der Rest ist Präferenz.

Subdomain bevorzugt dann, wenn (administrative) Aufgaben delegiert werden sollen. Allgemein isolieren Subdomains besser. Aber dafür ist der Verwaltungsaufwand höher und man braucht den(die) Extra-DC(s).

OUs dann, wenn man vergleichsweise flexibel bleiben will.

Ansonsten kann man das irgendwann zurückführen auf "will ich Volumes oder will ich Verzeichnisse auf meiner Festplatte?" Hat alles Vorteile. Hat aber auch alles Nachteile. Am Ende entscheidet der Bedarf, die Präferenz und - nicht zu unterschätzen -- die Macht der Gewohnheit.
 
Dabei seit
Dez. 2013
Beiträge
2.500
#5

RalphS

Lt. Junior Grade
Dabei seit
Feb. 2015
Beiträge
290
#6
Ich hatte da ans Stichwort Inter-Domain Trust gedacht, aber, das kann man sicherlich auch anders abdecken.

Wie gesagt, am Ende läuft es darauf raus, was man benötigt. Ne Subdomain kann ich nem Kollegen in die Hand drücken und ihm sagen, mach selber.

Die angesprochene Isolation beschränkt sich icht auf die Sicherheit. Es ist aber ein Sandkasten. VMs isolieren auch einen Gast vom Host; besondere Auswirkungen auf die Sicherheit hat es aber zumindest implizit noch nicht.
 
Zuletzt bearbeitet:

RalphS

Lt. Junior Grade
Dabei seit
Feb. 2015
Beiträge
290
#8
Die man dann im GPO-Modell explizit berücksichtigen muß. Ja, natürlich geht das so, klar; aber die Subdomain stellt mir zB sicher, daß ich hier ne Ansammlung von Nutzerkonten hab und da ne Ansammlung von Nutzerkonten und die sich nicht in die Quere kommen können.

Oder ich bau mir eine Subdomain für Ressourcen und ne Subdomain für Benutzer. Dann kann ich sowas haben wie ralphs@student.uni-jena.de und mueller@dozent.uni-jena.de, die beide über drucker01@ressources.uni-jena.de drucken können.

Andererseits wäre es natürlich albern, für drei Mann und einen Drucker Subdomains anzulegen.
 
Dabei seit
Dez. 2013
Beiträge
2.500
#9
Dabei seit
Juni 2005
Beiträge
1.993
#10
In Reviewing the Domain Models und What Are Domains? steht eigentlich das wichtigste zum Thema.

Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.

Für sowas kann man auch einfach verschiedene UPN-Suffixe nutzen mit weniger Aufwand und ähnlicher (kaum vorhandener Isolation).
Wenn man Ressourcen wirklich isolieren will, kommt eher ein Ressource Forest in Frage.
 

DPXone

Lt. Junior Grade
Dabei seit
Mai 2009
Beiträge
437
#11
Subdomains sind dann interessant wenn man den Replikations-Traffic zwischen mehreren Standorten möglichst gering halten will. Das war vor allem bei schmalbandigen WAN-Strecken (z. B. ISDN) ein Vorteil, ist heute nur aber noch selten bedeutsam (besonders wenn die Sites richtig konfiguriert sind). Der Trend geht aus meiner Sicht eindeutig zu weniger bzw. einer Domäne.
Das konnte man doch jederzeit auch über die Site-Settings regeln, wie oft über welche Strecken zu den einzelnen Sites repliziert wird.
Oder gab es das (ganz) früher auch noch nicht?


NACHTRAG:
Ach hab den Text in den Klammern irgendwie überlesen.
(besonders wenn die Sites richtig konfiguriert sind)
War n langer Tag sorry :freak:
 
Zuletzt bearbeitet:
Top