Forums Neueste Beiträge
 

Gruppendesign

09/09/2009 - 11:03 von Lutz Brass | Report spam
Hallo Leute.
Ich mache mir gerade Gedanken über unser Gruppendesign und vielleicht kann
mir jemand dabei etwas helfen.
Wir haben eine W2K3 Domàne (2 DCs) mit Exchange 2003 und ca 100 Usern. Es
gibt ca 40 Sicherheitsgruppen und ca 40 Verteilergruppen. Die
Sicherheitsgruppen sind alle Globale Gruppen und aus einigen ehemaligen
Verteilergruppen sind durch die Vergabe von Berechtigungen über das Outlook
auch zu Globalen Sicherheitsgruppen mutiert.
Jetzt meine Fragen, bezogen auf unsere kleine bis mittlere Umgebung:
Macht es überhaupt Sinn Verteiler- und Sicherheitsgruppen zu trennen? Ich
denke nein, es ist nur ein größerer Verwaltungsaufwand.
Macht es Sinn auf das A-G-DL-P Prinzip umzustellen? Da bin ich mit
unschlüssig.
Da es nur zwei DCs sind könnte ich ja auch alle als Universelle Gruppen
machen?!?
Ändert sich etwas im Bezug auf ein Gruppendesign falls wir auf Windows
Server 2008 und Exchange 2007 migrieren?

Danke für Eure Anregungen.
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
09/09/2009 - 20:52 | Warnen spam
Howdie!

Lutz Brass schrieb:
Jetzt meine Fragen, bezogen auf unsere kleine bis mittlere Umgebung:
Macht es überhaupt Sinn Verteiler- und Sicherheitsgruppen zu trennen? Ich
denke nein, es ist nur ein größerer Verwaltungsaufwand.



Der Vorteil von Verteilergruppen ist, dass sie nicht im AccessToken des
Benutzers auftauchen (also da, wo die Berechtigungen und Privilegien
nach dem Authentifizieren an der Domàne abgelegt sind), und auch keine
SID generieren und demnach etwas "leichter" sind.

In kleinen Umgebungen mit wenigen Gruppen würde ich keine doppelten
Gruppen führen - dort, wo sich Sicherheits- und Verteilergruppen
überschneiden (die Mitglieder sind identisch) würde ich auf
Verteilergruppen verzichten. In eindeutigen Fàllen, die für
Verteilergruppen sprechen, würde ich bei den Verteilergruppen bleiben.

Macht es Sinn auf das A-G-DL-P Prinzip umzustellen? Da bin ich mit
unschlüssig.



Werdet ihr in nàchster Zeit eine weitere Domàne einführen? Das wàre so
momentan der einzige Grund, der in meinen Augen für das A-G-DL-P-Prinzip
sprechen würde.

Da es nur zwei DCs sind könnte ich ja auch alle als Universelle Gruppen
machen?!?



Das wàre wohl das einfachste Vorgehen, richtig.

Cheers,
Florian
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.ph...ilingliste

Ähnliche fragen