Gesamtstruktur-Entwurfsmodelle

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Sie können eines der folgenden drei Gesamtstruktur-Entwurfsmodelle in Ihrer Active Directory-Umgebung anwenden:

  • Organisations-Gesamtstrukturmodell

  • Ressourcen-Gesamtstrukturmodell

  • Gesamtstrukturmodell für eingeschränkten Zugriff

Es ist wahrscheinlich, dass Sie eine Kombination dieser Modelle verwenden müssen, um die Anforderungen aller verschiedenen Gruppen in Ihrer Organisation zu erfüllen.

Organisations-Gesamtstrukturmodell

Im Organisations-Gesamtstrukturmodell sind Benutzerkonten und Ressourcen in der Gesamtstruktur enthalten und werden unabhängig voneinander verwaltet. Die Organisationsgesamtstruktur kann verwendet werden, um für Dienstautonomie, Dienstisolation oder Datenisolation zu sorgen, wenn die Gesamtstruktur so konfiguriert ist, dass der Zugriff durch Personen außerhalb der Gesamtstruktur verhindert wird.

Wenn Benutzer in einer Organisationsgesamtstruktur auf Ressourcen in anderen Gesamtstrukturen zugreifen müssen (oder umgekehrt), können Vertrauensbeziehungen zwischen einer Organisationsgesamtstruktur und den anderen Gesamtstrukturen eingerichtet werden. Dadurch können Administratoren Zugriff auf Ressourcen in der anderen Gesamtstruktur gewähren. Die folgende Abbildung zeigt das Organisations-Gesamtstrukturmodell.

Illustration that shows the organizational forest model.

Jeder Active Directory-Entwurf umfasst mindestens eine Organisationsgesamtstruktur.

Ressourcen-Gesamtstrukturmodell

Im Ressourcen-Gesamtstrukturmodell wird eine separate Gesamtstruktur verwendet, um Ressourcen zu verwalten. Ressourcen-Gesamtstrukturen enthalten keine anderen Benutzerkonten als diejenigen, die für die Dienstverwaltung erforderlich sind, und solche, die zum Bereitstellen eines alternativen Zugriffs auf die Ressourcen in dieser Gesamtstruktur erforderlich sind, wenn die Benutzerkonten in der Organisationsgesamtstruktur nicht mehr verfügbar sind. Es werden Gesamtstrukturvertrauensstellungen eingerichtet, damit Benutzer aus anderen Gesamtstrukturen auf die in der Ressourcengesamtstruktur enthaltenen Ressourcen zugreifen können. Die folgende Abbildung zeigt das Ressourcen-Gesamtstrukturmodell.

Illustration that shows the resource forest model.

Ressourcengesamtstrukturen sorgen für Dienstisolation, die verwendet wird, um Bereiche des Netzwerks zu schützen, die einen Hochverfügbarkeitstatus aufrechterhalten müssen. Wenn Ihr Unternehmen beispielsweise eine Produktionsstätte umfasst, die weiterhin betrieben werden muss, wenn Probleme im restlichen Netzwerk auftreten, können Sie eine separate Ressourcengesamtstruktur für die Fertigungsgruppe erstellen.

Gesamtstrukturmodell für eingeschränkten Zugriff

Im Gesamtstrukturmodell mit eingeschränktem Zugriff wird eine separate Gesamtstruktur erstellt, die Benutzerkonten und Daten enthält, die vom Rest der Organisation isoliert werden müssen. Gesamtstrukturen mit eingeschränktem Zugriff bieten Datenisolation in Situationen, in denen die Auswirkungen einer Kompromittierung von Projektdaten schwerwiegend sind. Die folgende Abbildung zeigt ein Gesamtstrukturmodell mit eingeschränktem Zugriff.

forest design models

Benutzern aus anderen Gesamtstrukturen kann kein Zugriff auf die eingeschränkten Daten gewährt werden, da keine Vertrauensstellung vorhanden ist. In diesem Modell verfügen Benutzer über ein Konto in einer Organisationsgesamtstruktur für den Zugriff auf allgemeine Organisationsressourcen und über ein separates Benutzerkonto in der Gesamtstruktur mit eingeschränktem Zugriff für den Zugriff auf die klassifizierten Daten. Diese Benutzer müssen über zwei separate Workstations verfügen, von denen eine mit der Organisationsgesamtstruktur und die andere mit der Gesamtstruktur mit eingeschränktem Zugriff verbunden ist. Dies schützt vor der Möglichkeit, dass ein Dienstadministrator aus einer Gesamtstruktur Zugriff auf eine Workstation in der eingeschränkten Gesamtstruktur erhält.

Im Extremfall kann die Gesamtstruktur mit eingeschränktem Zugriff in einem separaten physischen Netzwerk verwaltet werden. Organisationen, die an klassifizierten Regierungsprojekten arbeiten, verwalten zuweilen Gesamtstrukturen mit eingeschränktem Zugriff in separaten Netzwerken, um Sicherheitsanforderungen zu erfüllen.