Hallo Ibeaner

Ich wollte für mich mal ein Forestübergreifendes Model des AGDLP (Account, Global Group, Domain Local Group, Permissions) System zeichen, damit ich die ganze Gruppengeschichte mal grafisch dargestellt mir einprägen kann. Jetzt bin ich aber nicht sicher, ob ich alle Verbindungen habe, oder ob noch was fehlt. Wenn ihr also noch was zu ergänzen habt, dann postet es bitte und passe das Schema an.

Gruss Schubo

Das schaut aber nach AGUDLP aus. :-)

Super, habe gerade diese Woche an diesem Thema rumstudiert!


Danke Schubo

gscht

Ist das ein offizielles Modell?

Ich weiss nicht, WIE, aber irgendwie konnt ichs mir einfach anhand des Kürzels merken..AGDLP
Hoffentlich red ich jetzt kein Scheiss...
Bitte zarte Schläge auf den Hinterkopf, wenn ich falsch liege...


Der ACCOUNT kommt in eine Globale Gruppe.
Die Globale Gruppe kann nur User aus der lokalen Domäne haben, jedoch auf globale Recourcen zugreifen.

Die Domänen Lokale Gruppe kann nur auf LOKALE Recourcen zugreifen, jedoch Gruppen incl. Accounts aus allen Domänen aufnehmen.

Die Universelle Gruppe kann Accounts aus ALLEN Domänen enthalten, und auf Recourcen in ALLEN Domänen haben.

Würde man nur Universelle Gruppen nutzen, wäre der Replikations-Aufwand jedoch deutlich höher, als wenn man das AGDLP Modell nutzt.
Ferner würde man durch sämtliche MS Prüfungen fallen.

Ja es gibt 3 Modelle

AGP / AGDLP / AGUDLP

Stimmt nicht ganz dein Modell

1. Gibt es bei AGDLP kein Universallen Gruppen
2. Es werden nicht die DL mit den DL Gruppen verbunden (zwischen den Domänen - deine blaue linie ist zwischen DL und DL ist falsch) sonder Gobal (Domäne A) mit DL (Domain B)

natürlich kann bei der Gobal (Domäne A) auch mitglied sein bei DL (Domain A)

Aber die Schnittstelle zwischen Domänen ist immer bei dieser Regel auf der seite wo die Benutzer sind eine G Gruppe und dort wo die Ressourcen sind eine DL Gruppe

Ausserdem sollte nie ein Benutzer von Dom B in einer DL Gruppe von Dom A (so hast es) sonder der Benutzer kommt in eine G in Dom B und diese Gruppe wird dann in die DL von Dom A verschachtelt

Universale Gruppen werden im Global Catalog gespeichert.

Und bei jeder Änderung wird der gesamte Gruppeninhalt auf jeden GC in der Gesamtstruktur repliziert

Wie sind die verschiedenen Modus, ich galaube fas AGDLP MixtMode?
AGUDLP NativMode?

Kann das sein?

Grz

gscht

hab leider nichts besseres zu hand No Visio

Aber so kann es sein zwischen zwei Domänen mit AGDLP

Da Windows NT 4.0 Server keine Universallen Sicherheitsgruppen unterstützen, kann die AGUDLP Regel erst im NativMode verwendet werden.

Aber da U-Gruppen viel Repverkehr verursachen könne sind sie in grossen Gesamtstrukturen nicht sinnvoll, da eine Änderung einen riesigen Datenfluss in bewegung setzen - kann im nativ mode die AGDLP Regel besser sein als die AGUDLP

die AGP Regel ist meinst für nur eine Domäne sinvoll

BTW es spielt auch eine Rolle ob der Domain Functional Level im mixed oder native Mode betrieben wird.

Wer mal eine Idee für einen Workshop Gruppenmodelling Wär ja mal was für Klicki Schubo oder ?

Noch ein paar Basic Erklärungen:

Domänenlokale Gruppen

Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
Erlauben Zugriff auf Ressourcen innerhalb einer Domäne.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.


Globale Gruppen

Enthalten Mitglieder aus derselben Domäne.
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.
Der Gruppenname wird im globalen Katalog repliziert.
Globale Gruppen werden im globalen Katalog angezeigt.


Universale Gruppen

Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
Mitgliedschaften werden im globalen Katalog in der Gesamtstruktur repliziert. Mitgliedschaften und Änderungen sollten deshalb auf ein Minimum reduziert werden. Es sollten keine einzelnen Benutzer zugefügt werden.
Universale Gruppen stehen nur im einheitlichen Modus zur Verfügung