[2003] Child domain vs OU voor branch offices*

Oké, heel veel verstand heb ik hier niet van maar dit wil ik je toch echt niet onthouden.
OP de uni van Stansford hebben ze een site die precies hoe en de voors en tegens van, met een wel zeer duidelijke en makkelijk te begrijpen structuur.
Misschien heb je er wat aan!
http://windows.stanford.e...ructure/WinAdminGuide.htm

Welkom op GoT trouwens!

[ Voor 4% gewijzigd door Anoniem: 88711 op 02-05-2006 14:30 . Reden: welkom ]

Ik denk dat je, zeker gezien het feit dat je allerlei branches hebt, je meer zorgen moet maken om het aanmaken van sites en niet zozeer om OU of sub-domein.

Een subdomein zou ik meer doen als je echt die branch min of meer zelfstandige it-support wilt gaan laten doen (decentralisatie).
Maar met 2003 kan je ook prima administratie van een OU delegeren naar een groep.
Beetje meer achtergrond is wel prettig als je het over design aspecten als dit hebt.
Als het hoofdkantoor de enige plek is waar mensen zitten met domain admin rechten zou ik gewoon kiezen voor 1 domein.
maak voor elke lokatie een site aan en zet minimaal 1 DC in elke site en maak deze ook Global Catalog. Zorg voor inter-site verbindingen en let daarbij op dat je gene single point of failure hebt.
Dus niet alleen een siteverbinding van branch naar HQ, maar ook tussen de sites onderling.
Sites met een erg slechte verbinding kan je ook helpen door Universal Group membership cahcing aan te zetten.

Was dit wat je zocht?

Sites is puur om je snelheid in je active directory te houden. Dwz zorgen dat je niet van lutjebroek naar tokyo meot connecten om in te kunnen loggen. DNS heeft daar niet zoveel mee te maken.

Zeker gezien je met aparte bedrijfjes te maken krijgt, zou ik voor sub-domeins kiezen.
Hebben ze lekker hun eigen beheer, maar kan jij al enterprise admin toch gewoon overal bij.
Dit heeft vaak erg veel te maken met wat het management wil.
Als die branches ook nog een andere bedrijfsnaam hebben zou ik kiezen voor niet een sub-domein, maar een ander domein in het zelfde forest. Later kan je altijd nog zo'n apart domein opnemen in je corporate domein.

Voorbeeld:



Voordeel heirvan is dat branch1.com zijn eigen naamgeving heeft (ligt vaak HEEL gevoelig bij de medewerkers)

Ander krijg je




Een combinatie van die 2 kan natuurlijk ook.

Suc7!

Zijn de bedrijven redelijk hetzelfde of hebben ze allemaal erg verschillende dingen nodig? Ik denk namelijk dat je met 1 domein wel een hoop werk kan besparen. Dat de "lokale" afdelingen daar niet blij mee zijn mag dan even jammer zijn als het wel kosteneffectiever is. Denk bijvoorbeeld aan software deployment e.d. Ik denk dat het een stuk meer moeite kost om dat soort dingen per domein te regelen.

Tenzij politieke redenen (zie ook djluc's opmerking over veschillende bedrijven) en/of banbreedte beperking met betrekking tot replicatie geen issue is, adviseert MS altijd voor een single domain forest te gaan. Maakt je beheer ook een stuk eenvoudiger.

Stel nu dat je allemaal domeinen gaat bouwen, je hebt 8 lokaties waarvan je de DC's redundant uit wil voeren. Dit betekent dat je minimaal al 16 DC's nodig bent.

Ik zou voor 1 domain gaan met gedelegeerde OU's. Je bespaard jezelf veel werk omdat je veel dingen kan gaan standardiseren, en niet elk departement dezelfde dingen moet gaan doen. Dat gaat je veel werk schelen als je een nieuwe loktie moet gaan opstarten. Uiteindelijk moeten alle sites toch weer gegevens uitwisselen en kan je dan weer met trust relaties aan de slag.


Subdomeinen zijn de NT4 van werken, we zitten nu toch al 2 versies verder. Voor het bandbreedte verbruik zou ik het dus echt niet laten, das allemaal mooi geregeld, of regelbaar...

[ Voor 12% gewijzigd door Yalopa op 04-05-2006 20:19 ]

Yalopa schreef op donderdag 04 mei 2006 @ 20:18:
Ik zou voor 1 domain gaan met gedelegeerde OU's.

Da's de puur technische blik van $ITer, zonder rekening te houden met gevoelens.
Niet erg hoor, maar dan ga je er wel min of meer vanuit dat IT het doel op zich is, en niet het onderdeel IT van de onderneming als geheel.

Question Mark en djluc verwijzen al naar bedrijfspolitieke redenen om af te wijken van de puur technisch meest makkelijke manier.

Aangezien er in de TS geen enkele politieke reden vermeld is zijn er geen. In dat geval raad MS aan om met 1 domein te werken, de politieke redenen zijn voor MS de enige reden om met subdomeinen dan wel met apparte domeinen te werken. Ik ga er helemaal niet van uit dat IT het doel is, maar ik weet uit ervaring dat veel domeinen gewoon niet lekker werken, zeker niet als je users geregeld en tijdelijk in andere vestigingen moeten werken..

En ja ik ben $IT'er, maar als $IT'er in een situatie identiek aan de TS meen ik mijn persoonlijk advies te mogen meedelen, dat is tenslotte hetgeen de TS vraagt.

Yalopa schreef op donderdag 04 mei 2006 @ 22:35:
Aangezien er in de TS geen enkele politieke reden vermeld is zijn er geen.

Dat weet je niet want dat weet de TS zelf ook nog niet.
Bij een AD design hoor je dat gedeelte ook (al is het maar voor de vorm) voor te leggen.

Bovendien: als je dat vervolgens schriftelijk vastlegt heb je gelijk een warm gevoel van achteren (je kont gedekt).
Immers : $management is ermee akkoord gegaan, dus valt $ITer/designer niet veel meer te verwijten.
Voorkomt lastige RGEs

Het is natuurlijk wel mogelijk om het verhaal een beetje leuker te vertellen voor het management mochten ze die scheiding willen zien. Je meld gewoon dat je "een stricte scheiding" houdt tussen de bedrijven middels het gebruik van OU's en dat dit tevens "een interessante kostenbesparing" met zich mee brengt. Over het algemeen zou dat toch wel voldoende moeten zijn om je zin door te drijven

enige reden voor aparte domeinen: -andere password policy is gewenst
de reden voor aparte forest: bedrijven strict kunnen scheiden, zowel qua beheer, beveiliging en om makkelijk te kunnen afstoten.

Yalopa schreef op donderdag 04 mei 2006 @ 22:35:
Aangezien er in de TS geen enkele politieke reden vermeld is zijn er geen. In dat geval raad MS aan om met 1 domein te werken, de politieke redenen zijn voor MS de enige reden om met subdomeinen dan wel met apparte domeinen te werken. Ik ga er helemaal niet van uit dat IT het doel is, maar ik weet uit ervaring dat veel domeinen gewoon niet lekker werken, zeker niet als je users geregeld en tijdelijk in andere vestigingen moeten werken..

En ja ik ben $IT'er, maar als $IT'er in een situatie identiek aan de TS meen ik mijn persoonlijk advies te mogen meedelen, dat is tenslotte hetgeen de TS vraagt.

Je hebt volkomen gelijk; het is veel eenvoudiger qua opzet en flexibeler. Extra domeinen hebben vanuit technisch oogpunt geen toegevoegde waarde.

Verder loop je ook op organisatorisch gebied tegen problemen op als je vestigingen als aparte domeinen gaat opzetten. Wat nu als een bepaald organisatieonderdeel dwars door al die vestigingen heen vertegenwoordigd is? En wat als de organisatiestructuur verandert in de nabije toekomst? OU's zijn zoveel flexibeler dan domeinen dat je daar wel mee overweg kan.

Wat je verder terecht aangeeft is dat je het lastiger maakt om als gebruiker tussen vestigingen te zwerven.

MS zegt zelf dat je altijd OU's moet gebruiken, tenzei je een hele goede reden hebt om meerdere domeinen te gebruiken. Het delegeren van beheer is hier geen reden voor, want dat kun je met OU's ook wel.

Een goede reden kan zijn, verschillende namen (FQDN), of een verschillende password policy.

Een goede reden kan zijn, verschillende namen (FQDN), of een verschillende password policy.

Je kunt gewoon 1 domein aanhouden scheelt een hoop werk en als ze alle bedrijfsnamen of organisaties willen terug laten komen in bv gebruikers login maak dan voor iedere tak die dat zo graag wil een UPN (User Principal Name) aan. Je krijgt dan als gebruikers login Bijv. pietje.puk@HQ.com en de ander jan.jansen@br1.com. Dan zijn de managers blij want het is veel minder beheers werk met de OU’s kun je beheerstaken uit handen geven aan de locale afdelingen. en Als je wilt kan je ze ook beheer geven over een deel van hun servers.

Waar je dit kunt vinden? ...Domains and trusts rechts klik in de MMC ...Domains and trusts op ...Domains and trusts

Wij hebben bijv. voor in Amerika een aparte tak die het beheer daar doen en in Canada maar als er wat met de DC's moet gebeuren dan doen we dat samen met hun. In Azië idem twee locaties support van uit 1 locatie. Hebben zij het idee dat ze ook nog wat mogen en hier op het hoofd kantoor houden we de controle over de hele toko. Als je met childs gaat werken zou ik dat eerder doen om bedrijfskritische onderdelen in een top level domain te stoppen en de rest er onder (scheiding resources en users) maar wel alle users in 1 domein. Als je dan de toplevel hebt ingericht hoef je hier bijna nooit wat te doen blijft lekker stabiel doordraaien. In het gedeelte waar alle gebruikers zitten word het meeste gedaan de kans dat een foutje in dat deel dan je resources als exchange en dergelijke plat leggen is erg klein.

Als het even kan hou het dan zo simpel mogelijk!