Auswählen eines Active Directory-Verwaltungsmodells

  • Artikel

 

Letztes Änderungsdatum des Themas: 2005-05-13

Abhängig von den bestehenden Verwaltungs- und Sicherheitsanforderungen sowie den vorhandenen technischen Möglichkeiten können Sie ein zentralisiertes oder ein verteiltes Verwaltungsmodell oder eine Kombination aus beiden entwerfen. Diese Entscheidung hat insbesondere Einfluss darauf, ob eine oder mehrere administrative Gruppen eingerichtet werden müssen.

Informationen zu administrativen Gruppen

Administrative Gruppen bieten eine Möglichkeit zum Zusammenfassen von Objekten in Gruppen (z. B. Server, Richtlinien, Routinggruppen und Öffentliche Ordner-Hierarchien) und zum Definieren des Umfangs der Berechtigungen für die jeweilige Gruppe. Wenn es in Ihrer Organisation beispielsweise zwei Gruppen von Administratoren gibt, die zwei Exchange-Servermengen verwalten, können Sie zwei administrative Gruppen erstellen, die diese beiden Servermengen enthalten. Wenn Sie Berechtigungen einrichten möchten, können Sie den Sicherheitseinstellungen für die beiden administrativen Gruppen die entsprechenden Windows-Benutzer und -Gruppen hinzufügen. Active Directory übermittelt diese Einstellungen dann an alle Konfigurationsobjekte in der administrativen Gruppe. Zum Festlegen von Exchange-Berechtigungen für die administrativen Gruppen können Sie den Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte verwenden. Mit diesem Assistenten wird das Zuweisen von Berechtigungen sowie das Erstellen und Verwalten von Zugriffssteuerungslisten (ACLs) vereinfacht.

Verwaltungsmodell Details

Zentral
  • Eine administrative Exchange-Gruppe
  • Zentrales Server-Management
  • Zentrale Richtlinienverwaltung
  • Trotz der Beschränkung auf eine administrative Gruppe können Sie beliebig viele Routinggruppen einrichten.

Verteilt
  • Ermöglicht Unternehmensbereichen, ihre Exchange-Infrastruktur eigenständig zu verwalten.
  • Verwenden Sie mindestens eine administrative Gruppe pro eigenständige Einheit.
  • Verwenden Sie bei strikten Sicherheitsbestimmungen für die einzelnen Unternehmensbereiche mehrere Gesamtstrukturen anstelle mehrerer administrativer Gruppen in der gleichen Struktur.
  • Die Supportkosten in diesem Modell können erheblich sein.

Kombiniert
  • Verwendet sowohl Elemente des zentralen als auch des verteilten Modells.
  • Bietet eine Möglichkeit für Organisationen zentrale Richtlinien für E-Mail-Nachrichten mit lokaler Verwaltung bereitzustellen.
  • Dies kann insbesondere in Zweigstellenszenarios hilfreich sein.

Zentrales Verwaltungsmodell

Ein zentrales Exchange-Verwaltungsmodell ist durch das Vorhandensein einer einzelnen administrativen Exchange-Gruppe (die Standardgruppe) sowie eine zentrale Serververwaltung und Richtlinienverwaltung gekennzeichnet. Beachten Sie, dass in Exchange 2003 das Verwaltungsmodell vollständig unabhängig von der physischen Infrastruktur ist, sodass das Verwaltungsmodell für Exchange auch dann zentralisiert sein kann, wenn in Ihrem Unternehmen mehrere Zweigstellen vorhanden sind. Es kann nur eine administrative Gruppe eingerichtet werden, es dürfen jedoch mehrere Routinggruppen vorhanden sein. Wenn Sie ein stark zentralisiertes Verwaltungsmodell verwenden und keine strengen Sicherheitsgrenzen zwischen den einzelnen Unternehmensbereichen erforderlich sind, können Sie die Variante mit einer einzelnen Gesamtstruktur implementieren.

Verteiltes Verwaltungsmodell

Wenn die Exchange-Serververwaltung für einzelne logische Unternehmenseinheiten unabhängig voneinander erfolgen muss, ist u. U. ein verteiltes Modell erforderlich. Bei diesem Modell haben die einzelnen Unternehmensbereiche oder Niederlassungen volle Kontrolle über die Verwaltung der Exchange-Organisation, obwohl Standards und Richtlinien von einer zentralen Gruppe verwaltet werden können. Bei einem dezentralen Modell wird mindestens eine administrative Gruppe für jeden Bereich oder jede Niederlassung eingerichtet. Dieses Modell entspricht dem Standortmodell in früheren Versionen von Exchange und wird oft in Unternehmen mit mehreren unabhängigen Zweigstellen eingesetzt. Sie müssen außerdem entscheiden, ob es ausreicht, Unternehmensbereiche durch Verwendung von administrativen Gruppen zu trennen, oder ob strenge Sicherheitsgrenzen zwischen diesen Bereichen erforderlich sind. Wenn Sie strenge Sicherheitsgrenzen benötigen, können Sie dies nur erreichen, indem Sie die einzelnen Unternehmensbereiche in getrennte Strukturen platzieren.

noteAnmerkung:
Die Supportkosten für einzelne Zweigstellen können sehr hoch sein. Daher sollten Sie diese Supportkosten gegen die Kosten für Investitionen in bessere Netzwerkverbindungen und eine Zentralisierung von Servern abwägen.

Kombiniertes administratives Modell

Bei einem kombinierten Modell ist es möglich, die Verantwortung für die Verwaltung verschiedener geografischer Standorte auf spezialisierte administrative Gruppen aufzuteilen und gleichzeitig eine zentralisierte administrative Gruppe für unternehmensweite Verantwortlichkeiten zuzuweisen. In diesem Fall legen die Administratoren einer zentralisierten Gruppe für Organisationsrichtlinien unternehmensweite System- und Empfängerrichtlinien fest. In den Gruppen für die einzelnen Zweigstellen werden tägliche Verwaltungsaufgaben definiert, die Administratoren an den verschiedenen geografischen Standorten ausführen. Jede dieser Gruppen enthält weitere Objekte, wie Öffentliche Ordner und Server, die von den lokalen Gruppen verwaltet werden.

Wichtig

Wenn Sie mit einer gemischten Exchange-Organisation arbeiten, d. h. mit Exchange 2000- oder Exchange 2003- und Exchange 5.5-Servern, wird in Exchange in der Standardeinstellung für jeden Exchange 5.5-Standort eine administrative Gruppe und eine Routinggruppe angezeigt.