Forum Datorer och system Server Tråd Inlägg

Duglig domän forest? Inlämningsuppgift.

1
Skriv svar
Permalänk
Medlem

Duglig domän forest? Inlämningsuppgift.

Hej!

Har en inlämningsuppgift i Infrastrukturella serversystem som jag skulle vilja ställa ett par frågor om.

Den behandlar första terminen i kursen där vi lärt oss arbeta med server manager,hypervisor med mera.
Dom enda roller vi arbetat med är adds,group policy,file server,dns och dhcp.
Behöver bara hjälp med hur min bild av domänen ser ut.
Vad grupperna innebär och samt vad för behörigheter samt GPO:er dom kommer få behandlas i den skriftliga delen som jag helst vill klara själv.

Min domän består av 300 elever, 10 ledning,okänt antal lärare, samt 5 it personal.

Bilden är Domän sen tillkommer OU enheter med innehåll följt av grupper.

Hade uppskattat jättemycket om nån vill komma med en kommentar eller två! och ber om ursäkt om tråden är felplacerad!

Mvh Andreas

BILD:

https://ibb.co/bEevUw

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem

Förklara hur du har tänkt med de två användarna (?) under domain controllers?

Redigera
Citera flera Citera
Permalänk
Medlem

Jag hade inte lagt någonting som inte är automatskapat av systemet i Domain Controllers eller Computers. Skapa ett eget dator-OU för dina klienter istället, det blir lättare att hålla reda på när domänen växer. Hittar du då datorkonton i Computers vet du att något inte gått enligt rutinerna.
Om någon exempelvis joinar en maskin kommer den ju hamna i Computers som standard och då vet du att den behöver lite tillsyn.
Samma sak med Domain Controllers, där ska enligt mig bara domänkontrollanterna finnas.

Redigera
Citera flera Citera
Permalänk
Medlem

@Xerbee:

Redundans?

Att de är 2 som är Domänkontrollanter

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Anndreeaas:

@Xerbee:

Redundans?

Att de är 2 som är Domänkontrollanter

Gå till inlägget

Det låter som du inte riktigt har koll på vad en DC är för något med tanke på att du lagt två användare där (om jag förstår din beskrivning korrekt)

Redigera
Citera flera Citera
Permalänk
Medlem

@Lunatech: Aha!

Hade fått de lite bakfoten, såg nyss i boken hur det ska läggas upp, Tack så mycket!

Domain controllers existerar alltså inte som users?

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Xerbee:

Det låter som du inte riktigt har koll på vad en DC är för något med tanke på att du lagt två användare där (om jag förstår din beskrivning korrekt)

Gå till inlägget

Ne jag tror visst jag fått de lite fel iochmed det endast är befintlig personal som existerar ville jag ha it-driftteknikern och en från it avdelningen som kontrollanter

Skrivet av Anndreeaas:

@Lunatech: Aha!

Hade fått de lite bakfoten, såg nyss i boken hur det ska läggas upp, Tack så mycket!

Domain controllers existerar alltså inte som users?

Gå till inlägget
Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Anndreeaas:

@Lunatech: Aha!

Hade fått de lite bakfoten, såg nyss i boken hur det ska läggas upp, Tack så mycket!

Domain controllers existerar alltså inte som users?

Gå till inlägget

Nej, det är DATORkontona för den/de maskiner som har AD DS-rollen installerad som ska ligga där. Dina egna adminkonton skapar du förslagsvis ett eget OU för.

Redigera
Citera flera Citera
Permalänk
Medlem

@Lunatech:

Ja det har du givetvis rätt i, ber om ursäkt.

Rekomenderar du att jag skapar en ou-group för dom 20 st biblioteks datorerna utan inlogg jag vill sätta speciella befogenheter på?

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem

Om de ska vara någon sorts publika maskiner utan inloggning hade jag definitivt skapat ett eget OU eller åtminstone en grupp för dem eftersom du förmodligen kommer vilja ha andra inställningar på dem än dina vanliga arbetsstationer. Jag föredrar OU:n eftersom det blir lättare att hantera group policy då, vilket jag antar att du kommer vilja använda.

Redigera
Citera flera Citera
Permalänk
Medlem

@Lunatech:

Ja men det är lite överkurs i detta läget iochmed vi inte behandlat det.

Här en ny version, väljer att simplifiera informationen på bilden och sen gå djupgående i muntliga presentationen och texten.

https://ibb.co/dUNfgb

(ledning befogad och obefogad ska ändras namn på, det är endast för vaktmästare,sjuksköterskor ska ha lite olika rättigheter så kan dom ha grundläggande som ärvs och sen specifika på dom mer befogna)

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem

Du saknar OU för technical accounts,groups sånt man har för skrivare och andra konton som inte är riktiga vanliga konton men som behövs.

Visa signatur

i5-12600KF | Noctua NH-D15S Chromax Black | MSI MAG B660M | 64 GB G.Skill Trident Z | 3 * WD Black SN750 | Asus TUF OC RTX 3080 | Fractal Design Torrent | Corsair RM750W | Samsung Odyssey G9 49" |

Redigera
Citera flera Citera
Permalänk
Medlem

@PierreB:

Tack så jättemycket för det rådet!

Vi har tvärr inte gått igenom det än och får bara lov att använda nuvarande genomgått kursmaterial

Visa signatur

I7 4790K 4,5 ghz ASUS STRIX GTX 970x2 SLI MMSI Z97-S02 INET EDITION ATX HyperX Savage 16GB (2x8GB) CL11 2400Mhz XMP 2x Samsung 250GB SSD 500gb HDD Corsair CX600 Fractal Design Define R5

Corsair Mus och Tangentbord

Redigera
Citera flera Citera
Permalänk
Medlem

Döp inte domänen till .local

Finns två sätt, säg att företaget (eller skolan) har domänen remh.se för mejl och hemsida.

Antingen köper man ytterligare en domän tex. remheducation.net och använder den. Eller tar man en subdomän till remh.se, till exempel corp.remh.se eller ad.remh.se. Ett vanligt misstag är också att man använder remh.se, men den använder du ju till hemsidan samt att det skapar massa dubbeljobb och strul.

Anledningen är att man inte kan skaffa publika certifikat för .local domäner. Det kan också bli problem med kopplingar till molntjänster eller andra kopplingar som sker utanför nätverket. Så .local ska man bara använda i labb.

Tycker din senaste bild är på rätt väg. Jag brukar skapa ett OU för stationära och ett för laptops under computers, finns där datorer av mer offentliga karaktär hade jag gjort ett för det med. Då kan man applicera olika policys lätt på grupperna av datorer. Säg att de bärbara ska ha wifi och VPN-klient samt mer strömsparfunktioner. Medan de stationära inte ska ha något strömspar tex.

Redigera
Citera flera Citera
Permalänk
Medlem

Baserat på vad du tidigare skriver att ni endast verkar vara på en grundnivå så ser det helt ok ut nu, jag skulle dock vilja se ytterligare en nivå av OU’s under users då dessa troligtvis kommer vara statiska (förhållandet lärare/elever förändras nog inte) för att underlätta skapandet av GPO’er och rättighetsstyrning framöver.

Sedan hade jag även flyttat OU’t Domain Controllers intill ditt egenskapade OU istället för högst upp då det ser lite förvirrande ut rent AD-mässigt. Domain Controllers ligger bara i ett OU under din domän, inte ovanför den.

Skickades från m.sweclockers.com

Visa signatur

https://barbapappa.net

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Döp inte domänen till .local

Finns två sätt, säg att företaget (eller skolan) har domänen remh.se för mejl och hemsida.

Antingen köper man ytterligare en domän tex. remheducation.net och använder den. Eller tar man en subdomän till remh.se, till exempel corp.remh.se eller ad.remh.se. Ett vanligt misstag är också att man använder remh.se, men den använder du ju till hemsidan samt att det skapar massa dubbeljobb och strul.

Anledningen är att man inte kan skaffa publika certifikat för .local domäner. Det kan också bli problem med kopplingar till molntjänster eller andra kopplingar som sker utanför nätverket. Så .local ska man bara använda i labb.

Tycker din senaste bild är på rätt väg. Jag brukar skapa ett OU för stationära och ett för laptops under computers, finns där datorer av mer offentliga karaktär hade jag gjort ett för det med. Då kan man applicera olika policys lätt på grupperna av datorer. Säg att de bärbara ska ha wifi och VPN-klient samt mer strömsparfunktioner. Medan de stationära inte ska ha något strömspar tex.

Gå till inlägget

Njea, jag är snarare av gamla skolan där döpa domänen till någon ickepublik top-domän är att föredra. Kopplingar utanför nätverket har jag aldrig upplevt problem med, det fixar man med någon federering mot azure eller google. Vill man utfärda cert till den lokala domänen så är det ju bara att installera en CA. Att glömma betala för ditt domännamn och låta din interna domän bli hanterad av extern part - det vill jag inte riskera.

Skickades från m.sweclockers.com

Visa signatur

https://barbapappa.net

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av ekstam:

Njea, jag är snarare av gamla skolan där döpa domänen till någon ickepublik top-domän är att föredra. Kopplingar utanför nätverket har jag aldrig upplevt problem med, det fixar man med någon federering mot azure eller google. Vill man utfärda cert till den lokala domänen så är det ju bara att installera en CA. Att glömma betala för ditt domännamn och låta din interna domän bli hanterad av extern part - det vill jag inte riskera.

Gå till inlägget

Det är inte alltid man kan ta till ett eget CA om man inte har fullt kontroll på enheterna, tex. byod scenario. Nu kommer jag inte direkt på något, men vet att det finns fler. Det är som sagt inte best practice och nu är vi lärare och då ska vi lära ut rätt. (https://social.technet.microsoft.com/wiki/contents/articles/3...)

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Det är inte alltid man kan ta till ett eget CA om man inte har fullt kontroll på enheterna, tex. byod scenario. Nu kommer jag inte direkt på något, men vet att det finns fler. Det är som sagt inte best practice och nu är vi lärare och då ska vi lära ut rätt. (https://social.technet.microsoft.com/wiki/contents/articles/3...)

Gå till inlägget

Jo, jag har hängt med på att många drar åt det hållet men ibland händer sånt här: https://www.iis.se/nyheter/fel-pa-blocket-se-inatt/

Inte kul om ens domän inte ser sina egna dns-servrar som auktoritära för domänen..

/p

Skickades från m.sweclockers.com

Visa signatur

https://barbapappa.net

Redigera
Citera flera Citera
Permalänk
Medlem

Ha en OU för servicekonton också, om det är eventuella tjänster eller backup som ska gå i din domän, vilket jag förutsätter att du vill ha på bland annat mailserver/printserver/dhcp-server och även dns-server.

Du kan använda .localdom istället för .local eller .lan som har visserligen liten chans att få problem men den finns där.

.local används i vissa applikationer och .lan används i mdns, i kombination kan det ställa till det för mac och linux baserade datorer, vilket kan vara ett scenario att man har på en skola.

Ni får säkert läsa om detta sedan.
Men ser bra ut

Visa signatur

..:: Workstation ::.. ..:: Asus P8Z77-v LX ::.. ..:: MSI GTX1060 6GB ::.. ..:: i5 3450 Ivy Bridge /w Antec KÜHLER H2O 620 Sluten Vattenkylning ::.. ..:: Corsair 16GB DDR3 600MHz/CL9/VENG ::.. ..:: NoName 650W ::.. ..:: Dell 24" 2408WFP ::.. ..:: Server ::.. ..:: AMD ..:: FX-8320 ::.. ..:: 16GB ::.. ..:: XFX HD6450 ::.. ..::250GB SSD Samsung 840 EVO::.. ..:: 3x 2TB wd black ::.. ..:: VCP6-DCV ::.. ..:: vmware esxi 6.7 ::..

Redigera
Citera flera Citera
Permalänk
Inaktiv

Bara gamla gubbar som förespråkar .local, det ska aldrig användas. Utöver ovan nämnt används dessutom .local av zeroconf enheter som skrivare, etc.

Även om du gör labb finns det fortfarande ingen anledning att använda .local. Bad practice är förnamnet.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara