Fråga ang. Användare- och Grupp(?)-Hierarki i AD på WinServer 2012

Trädvy Permalänk
Medlem
Plats
*
Registrerad
Nov 2011

Fråga ang. Användare- och Grupp(?)-Hierarki i AD på WinServer 2012

Hej!

Jag söker lite expertis inom hur det rekommenderas att användar- och grupp-hierarkin byggs upp i AD då det är första gången jag leker med detta.

Min första tanke var att lägga alla användare i Users-mappen eftersom denna är default, men efter att ha läst runt lite så upptäckte jag att en del la sina användare direkt i rooten på domänen. Vilket dera är lämpligast? Eller är jag ute och cyklar?

Nästa steg; gruppering av användarna. Med ovanstående i åtanke började jag tänka att jag kanske skulle göre egna containrar för olika grupper i rooten. Här stöter jag dock på patrull, det går inte att skapa containrar.. eller åtminstone hittar jag inte var.

Vad jag nu slutligen har kommit fram till för användare är att jag ska ha dessa i Users-mappen. Grupperna/containrarna är jag fortfarande lite osäker på, då jag kom fram till att jag bara kan signa en användare till en grupp och inte "fysiskt" placera honom där. Ska mina grupper ligga i rooten eller i Users-mappen?

Fråga gärna om det behövs någon annan info. Om det inte redan framgått är det alltså mitt hemnätverk detta handlar om, där denna server är den enda.

Tacksam för tips
//atriix

FreeNAS 3U | 8GB | 2x2x3TB ESXi GA-P67A-D3-B3 | i5 2310 | HyperX 32GB 1600MHz | <TB Desktop Dell 22" | Benq 22" | Lenovo Thinkpad T430 | 16GB | Intel 520 120GB | 500GB | Debian

Trädvy Permalänk
Medlem
Plats
Upplands Väsby
Registrerad
Jul 2001

Använd inte users-mappen direkt under domänen. Best practice är något liknande detta:

(Hårt Ms-paintad bild, men du kanske förstår hur jag menar )

Alltså, skapa först en OU [Organizational Unit] för ditt företag, sen lägger du sub-OUs där. Många börjar längst upp med fysisk plats rent geografiskt, t.ex. "Sweden" och sen "Stockholm", sen har du "computers" och "users" där under.

Allt är beroende på hur du själv vill strukturera, men att börja drälla in användare direkt i "users" i domänroten är aldrig rekommenderat. Det kanske känns larvigt att sitta och dela upp det i sub-OUn i början men när du börjar få ett par hundra användare kommer du inte ångra dig att det är välorganiserat. Då kan du lägga upp egna GPOs för varje OU osv.

edit: Jag beskriver hur man gör i den verkliga världen, för det är där man använder Active Directory. Det är nog väldigt få personer som verkligen har nytta av det i hemnätet. Ska du labba så labba "all in"

i7 7770K @ 4,7 GHz med Noctua NH-D15. 16GB corsair. Asus Prime Z270-P. GTX 1070 @ 2100 / 8500. Samsung 960 EVO nvme. Dell Ultrasharp 2560x1440. Fractal R4. Antec 650Watt PSU.
Logitech G900. Logitech K65.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2004

Om det är en hemserver så spelar det väl inte så jättestor roll i praktiken.
Best practice är att nästla något i stil med printscreens bild.
Men den huvudsakliga anledningen är ju för att man vill bunta ihop användare av samma "typ" eller avdelning och på så vis enklare kunna styra regler, policies, rättigheter och rätten att hantera dessa användare.

Men jag skulle väl ändå undvika rooten och de förskapade OUna, för det blir då mycket enklare att se vad man själv skapat "skräpat" ner med i domänen.
Om man leker för lekandet skulle skadar det ju dock inte att göra rätt från början .

edit: Där jag arbetar är det sorterat ungefär såhär (varje minustecken representerar ett steg ner i hierarkin).

[företagsnamn]
-[datorkonton]
--[bärbara]
--[stationära]
--[kioskade]

-[serverkonton]
--[serverroll1]
--[serverroll2]

-[säkerhetsgrupper]
--[applikationsdistrubering]
--[mailgrupper]
--[samarbetsgrupper]

-[anställda]
--[avdelning1]
--[avdelning2]
--[....]

-[adminkonton]

-[tjänstkonton]

Lite förenklat jämfört med "best practise", men det är inte en jätteorganisation så det fungerar.

Trädvy Permalänk
Medlem
Plats
*
Registrerad
Nov 2011
Skrivet av Printscreen:

Använd inte users-mappen direkt under domänen. Best practice är något liknande detta:
http://i.imgur.com/LEmEj.png

(Hårt Ms-paintad bild, men du kanske förstår hur jag menar )

Alltså, skapa först en OU [Organizational Unit] för ditt företag, sen lägger du sub-OUs där. Många börjar längst upp med fysisk plats rent geografiskt, t.ex. "Sweden" och sen "Stockholm", sen har du "computers" och "users" där under.

Allt är beroende på hur du själv vill strukturera, men att börja drälla in användare direkt i "users" i domänroten är aldrig rekommenderat. Det kanske känns larvigt att sitta och dela upp det i sub-OUn i början men när du börjar få ett par hundra användare kommer du inte ångra dig att det är välorganiserat. Då kan du lägga upp egna GPOs för varje OU osv.

edit: Jag beskriver hur man gör i den verkliga världen, för det är där man använder Active Directory. Det är nog väldigt få personer som verkligen har nytta av det i hemnätet. Ska du labba så labba "all in"

Tackar, nu börjar det klarna en gnutta. Ang. Site-OUn, om man säger att t.ex. högsta nivån direkt under domänen skulle vara IKEA, skulle då varje varuhus vara en egen site? Eller är det menat på något annat vis?

EDIT:

Skrivet av henkiii:

Om det är en hemserver så spelar det väl inte så jättestor roll i praktiken.
Best practice är att nästla något i stil med printscreens bild.
Men den huvudsakliga anledningen är ju för att man vill bunta ihop användare av samma "typ" eller avdelning och på så vis enklare kunna styra regler, policies, rättigheter och rätten att hantera dessa användare.

Men jag skulle väl ändå undvika rooten och de förskapade OUna, för det blir då mycket enklare att se vad man själv skapat "skräpat" ner med i domänen.
Om man leker för lekandet skulle skadar det ju dock inte att göra rätt från början .

Var lite det jag tänkte att det var bäst att läs på en gnutta i hur det faktisk borde se ut och inte bara göra. Alla tutorials kring AD jag har hittat hittills har bara slängt in ett gäng användare i rooten vilket inte verkade vidare smidigt.

FreeNAS 3U | 8GB | 2x2x3TB ESXi GA-P67A-D3-B3 | i5 2310 | HyperX 32GB 1600MHz | <TB Desktop Dell 22" | Benq 22" | Lenovo Thinkpad T430 | 16GB | Intel 520 120GB | 500GB | Debian

Trädvy Permalänk
Medlem
Plats
*
Registrerad
Nov 2011

Håller på att modellera lite på hur det kan se ut...
Kom fram till detta:

[Hem] (OU)
-[Konton] (OU)
--[Familj] (OU)
--[Vänner] (OU)

-[Adminkonto] (OU)

-[Grupper] (OU)
--[Lanåtkomst] (Grupp)
--[Spelare] (Grupp)
--[vpnåtkomst] (Grupp)

Ser detta ut att kunna vara en någorlunda start?
Sedan tänkte jag på rent kontomässigt, borde jag ha ett annat admin konto än det som är default under Users för domänen? Annars tänker jag mig att t.ex. installationer och dylikt görs från default admin kontot även om jag lägger till mitt eget "vanliga"-konto i default gruppen "Administratörer" för inte få några problem med rättigheter osv. Egentliga frågan är alltså om jag borde ha en OU enligt oven för ett admin konto extra eller om det bara är onödigt.

Grouppolicy och att lägga till datorer i domänen måste jag ta o läsa på mer innan jag bombar här med frågor

FreeNAS 3U | 8GB | 2x2x3TB ESXi GA-P67A-D3-B3 | i5 2310 | HyperX 32GB 1600MHz | <TB Desktop Dell 22" | Benq 22" | Lenovo Thinkpad T430 | 16GB | Intel 520 120GB | 500GB | Debian

Trädvy Permalänk
Medlem
Plats
Upplands Väsby
Registrerad
Jul 2001

Du kan låta "administrator" ligga kvar och lägga till honom i säkerhetsgruppen "domain administrators". Adminkontot bör inte ligga i samma OU som vanliga användare. Och kom ihåg: "lowest privilegies possible". Lite som att man inte loggar in med root på en linuxmaskin.

Din struktur ser bra ut för övrigt. Kom ihåg att inget är skrivet i sten förrens du börjar powershellskripta och skriver OUs hårt. Tills dess kan du skyffla runt användare bäst du vill GPOs är inte knutna till specifika OUs utan du gör dem och länkar till OUs i efterhand.

Lycka till

Skickades från m.sweclockers.com

i7 7770K @ 4,7 GHz med Noctua NH-D15. 16GB corsair. Asus Prime Z270-P. GTX 1070 @ 2100 / 8500. Samsung 960 EVO nvme. Dell Ultrasharp 2560x1440. Fractal R4. Antec 650Watt PSU.
Logitech G900. Logitech K65.

Trädvy Permalänk
Medlem
Plats
*
Registrerad
Nov 2011
Skrivet av Printscreen:

Du kan låta "administrator" ligga kvar och lägga till honom i säkerhetsgruppen "domain administrators". Adminkontot bör inte ligga i samma OU som vanliga användare. Och kom ihåg: "lowest privilegies possible". Lite som att man inte loggar in med root på en linuxmaskin.

Din struktur ser bra ut för övrigt. Kom ihåg att inget är skrivet i sten förrens du börjar powershellskripta och skriver OUs hårt. Tills dess kan du skyffla runt användare bäst du vill GPOs är inte knutna till specifika OUs utan du gör dem och länkar till OUs i efterhand.

Lycka till

Skickades från m.sweclockers.com

Tackar Börjar hänga med på hur saker och ting hänger ihop nu

Mao blir det så här då:
[Hem] (OU)
-[Konton] (OU)
--[Familj] (OU)
--[Vänner] (OU)

-[Grupper] (OU)
--[Lanåtkomst] (Grupp)
--[Spelare] (Grupp)
--[vpnåtkomst] (Grupp)

[Users]
-Administrator (anv)

Upptäckte Windwos redan lagt till honom i domän admin också.

EDIT:
När man skapar grupper så räcker det väll att ha de på domän lokal nivå och inte ha de globalt?

FreeNAS 3U | 8GB | 2x2x3TB ESXi GA-P67A-D3-B3 | i5 2310 | HyperX 32GB 1600MHz | <TB Desktop Dell 22" | Benq 22" | Lenovo Thinkpad T430 | 16GB | Intel 520 120GB | 500GB | Debian

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2011

Rekommenderar den här artikeln: http://www.grouppolicy.biz/2010/07/best-practice-active-direc...

Beskriver väldigt utförligt om olika strukturer man kan använda sig av, när man bör göra det och varför.

Trädvy Permalänk
Medlem
Plats
*
Registrerad
Nov 2011
Skrivet av Ralph13:

Rekommenderar den här artikeln: http://www.grouppolicy.biz/2010/07/best-practice-active-direc...

Beskriver väldigt utförligt om olika strukturer man kan använda sig av, när man bör göra det och varför.

Bra info

Har en simpel (tror jag) fråga till;
---[Löste problemet till viss del]
Hittade en checkbox i adapter inställningarna på clienten som sa att endast att den endast skulle använda default gateway på remoteclienten. Dock kvarstår fortfarande frågan om hur man kan göra detta genom GPO istället.
---
Jag har nu lyckats få till ADn och där till användare, sedan har jag fått till en VPN med hjälp av denna och givit en AD användare tillåtelse att ansluta. So far, so good. Men efter att jag anslutit till VPNn så tappar jag internet åtkomsten på ethernet adaptern (inget internet från VPNn heller).
Status är alltså följande;
VPN (Connected)
Ethernet (Limited)

Min fråga är hur jag kan åtgärda detta. VPNn står på dynamisk utdelning av ip-adresser. Har provat att ansluta både på intern och extern ip med samma resultat. Datorn är inte ansluten till domänen och jag är inloggad med ett MS-konto på den.

Syftet med VPNn är att komma åt shares på servern (även senare en NAS på nätverket) samt RDP utifrån, att routa all nätverkstrafik genom den är jag inte intresserad av.

Hur kan jag lösa detta? (Hoppas jag gjorde mig förstådd, blev lite surrigt)

FreeNAS 3U | 8GB | 2x2x3TB ESXi GA-P67A-D3-B3 | i5 2310 | HyperX 32GB 1600MHz | <TB Desktop Dell 22" | Benq 22" | Lenovo Thinkpad T430 | 16GB | Intel 520 120GB | 500GB | Debian