Kategorie: 
Translate EN
Diese Frage lässt sich am besten mit Radio Eriwan beantworten: Im Prinzip ja. Wer es detaillierter wissen möchte, kommt leider um eine in IT-Kreisen nicht immer beliebte Aufgabe nicht herum: Erörtern der Anforderungen.
Active Directory ermöglicht eine Vielzahl von Domänenmodellen, die sehr unterschiedliche Ansprüche erfüllen können. Domänen können einzeln stehen, in einer Struktur (Tree) angeordnet sein oder sich in komplexen Konstrukten mit mehreren einzelnen Strukturen (Forest) zusammenfinden. Grundsätzlich gilt das KISS-Prinzip: Keep it simple, stupid! Der Ausgangspunkt der Überlegungen sollte also immer das Einzeldomänenmodell sein, denn es bietet den geringsten Hardware- und Administrationsaufwand.
So einfach ist es aber oft nicht. Daher folgt hier eine sehr kurze Übersicht der wichtigsten Vor- und Nachteile verschiedener üblicher Modelle. Zu dieser Übersicht ist auch folgender Artikel sehr interessant, der Diskussionen der internationalen AD-Expertenstzene zusammenfasst:
[Multiple Domain Forests: Still a Valid Design Model? > ActiveDir.org > ActiveDir Articles]
http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/68/Default.aspx
Domänenmodelle mit einem gemeinsamen Forest
Ein Forest (in der deutschen Übersetzung: Gesamtstruktur) bildet die oberste Einheit eines gemeinsamen Active Directory. Alle Domänen eines Forests haben ein gemeinsames Schema (Datenbankdefinition), einen gemeinsamen Global Catalog und eine gemeinsame AD-Konfiguration. Zudem sind einige Gruppen einmalig im Forest vorhanden (z.B. Organisations-Admins). Während administrativ jede Domäne einen eigenen Sicherheitsbereich darstellt, durch den Ressourcenzugriffe weitgehend auf Benutzer der eigenen Domäne eingegrenzt werden können, ist die Sicherheitstrennung nicht absolut: Einem Admin aus einer beteiligten Domäne kann es gelingen, in andere Domänen desselben Forests einzudringen (das ist nicht trivial, aber möglich). Wenn also eine echte Sicherheitstrennung zwischen Geschäftsbereichen erforderlich ist, müssen die Bereiche auf eigenständige, getrennte Forests verteilt werden. Für zusammenhängende Unternehmen sind in der Regel Modelle mit einem gemeinsamen Forest am vorteilhaftesten.
| Modell | Beschreibung | Pro | Contra |
| Einzeldomäne | Eine einzelne Domäne wird für das gesamte Unternehmen erzeugt. Die interne Struktur wird durch Organisationseinheiten (OUs) gebildet. Die Replikation wird durch AD-Standorte (Sites) gesteuert. |
|
|
| Leere Stammdomäne(Empty Root Domain) | Ein Modell mit mindestens zwei Domänen, von denen eine als Stammdomäne fungiert (in der keine produktiven Objekte enthalten sind). Die anderen Domänen sind untergeordnet (Subdomänen) und enthalten die tatsächlich genutzten Objekte. Der Namensraum ist strikt hierarchisch. |
|
|
| Flache Gesamtstruktur(Same-Level Forest) | Mehrere Domänen, die einen gemeinsamen Forest bilden, werden auf derselben Ebene angeordnet. Die erste Domäne ist die Stammdomäne, aber es gibt keine hierarchische Anordnung. Mehrere Namensräume werden verwendet, aber es gibt ein gemeinsames Schema und einen Globalen Katalog. |
|
|
Weitere Anmerkungen:
- Keines der Modelle erlaubt eine zukünftige Eingliederung oder Abtrennung von Domänen oder Teilstrukturen. Active Directory ermöglicht nicht die Verbindung getrennter AD-Umgebungen. In solchen Fällen wäre stets eine Migration nötig, in der (mindestens) Teile der Zielumgebung neu aufgebaut werden müssen.
- Der Replikationsverkehr steht in keinem direkten Zusammenhang mit einem der Modelle. Die AD-Replikation wird ausschließlich durch AD-Standorte (Sites) gesteuert und nicht durch Domänen. Es gibt für die Replikation keine messbaren Vorteile durch ein Modell mit mehr oder weniger Domänen.
- Jedes der hier vorgestellten Modelle verfügt über ein gemeinsames Schema und einen gemeinsamen Globalen Katalog.
- Es gibt keinen einfachen Zusammenhang zwischen dem Domänenmodell und der Sicherheit. Kein Domänenmodell ist pauschal „sicherer“ als irgendein anderes.
- Neben den hier vorgestellten Modellen gibt es zahlreiche Variationsmöglichkeiten. Diese müssen stets auf den Bedarf des Unternehmens abgestimmt werden.
Modelle mit mehreren Forests
Sobald zwei Active-Directory-Domänen unabhängig voneinander installiert wurden, bilden sie jeweils einen eigenen Forest. Active Directory ermöglicht es nicht, eine Domäne aus einem Forest in einen anderen Forest einzugliedern (siehe auch oben). Zwischen Domänen unterschiedlicher Forests können externe Vertrauensstellungen eingerichtet werden, sodas gezielte Ressourcenzugriffe möglich und administrierbar werden. Es gibt jedoch keinen gemeinsamen Global Catalog, kein gemeinsames Schema und keine gemeinsame Konfiguration. Beim Exchange-Einsatz ist zu beachten, dass der Forest die Organisationsgrenze ist: Das Globale Adressbuch etwa enthält nur Einträge aus dem eigenen Forest, und auch das einfache Verschieben von Mailboxen funktioniert nur innerhalb des Forest.
In manchen Situationen gibt es Gründe dafür, innerhalb eines Unternehmens oder Unternehmensverbunds mit mehreren getrennten Forests zu arbeiten. Hier einige Beispiele:
- Eine Testumgebung oder ein bestimmter Arbeitsbereich sollen vollständig von der Produktivumgebung getrennt werden.
- Es ist eine wirksame Sicherheitstrennung zwischen mehreren Bereichen nötig. Innerhalb desselben Forests kann ein Administrator einer Domäne sich administrative Rechte in einer anderen Domäne verschaffen (das ist nicht einfach, aber es ist möglich). Nur wenn mit getrennten Forests gearbeitet wird, bestehen echte getrennte Sicherheitsbereiche für die Windows-Ressourcen.
- Eine Firma schließt sich mit einer anderen zusammen, und beide betreiben bereits ein Active Directory.
- Es soll auf eine neue Umgebung migriert werden.
http://faq-o-matic.net/?p=483
