Wozu brauch ich ein Namenskonzept?
Fangen wir mal mit dem Beispiel Servernamen an. So lange das IT-Team klein ist, ist das egal. Wenn externe Mitarbeiter hinzukommen oder das Team wächst, kann es helfen. Hier ein paar Beispiele von Namenskonzepten, die mir schon begegnet sind, die vielleicht nicht ganz so verständlich auch den ersten Blick waren:
- Scotch Whisky (Nein, nicht meine Idee), gut zu merken, Talisker€ ist der Exchange Server, vollkommen klar oder?
- Cocktail Rezepte für Clustersysteme (Nein, war ein anderer Kunde), auch gut zu merken, die Fachanwendung läuft auf „Vodka“ und „Lime“.
- Assoziationen zur Anwendung im Rechnernamen, und jetzt einfach mal überlegen warum ein 3 Knoten System da wohl „Geberit“, „Duravit“ und „Keramag“ geheißen haben mag
- Auch beliebt einfache Nummerierung nach Inbetriebnahme, DCs 01, 02, 16; Exchange 04, 17; Dateiserver 05, 07
- Auch schön waren bisher aber auch ein paar einzelne Stilblüten: „Server“ oder „Druck“ und „drucktauch“ oder „Ablage“
Wie schnell findet man sich wohl in solchen Umgebungen zurecht?
Was braucht alles ein Namenskonzept
Es gibt ja noch mehr als Servernamen, auch andere Dinge sollten in einem Namenskonzept geregelt werden. Hier mal noch so ein paar Beispiele was man Sinnvoll regeln sollte:
- Benutzernamen
- Gruppennamen
- Gruppenrichtlinienbezeichnungen
- Active Directory Standorte
- Gerätenamen (Server, Clients, Drucker€ & Co.)
- Physikalische Orte (Gebäude, Räume, Racks, Unterverteilungen)
- Und vieles mehr
Braucht man Wirklich alles? Es kommt drauf an, hier kann ich keinen Blueprint liefern, hier ist eigener Hirnschmalz gefragt.
Wie kann man ein Namenskonzept aufbauen?
Ich arbeite gerne mit definierten Bausteinen, die ich überall im Namenskonzept bei Bedarf recyclen kann. Hier ein paar Beispiele:
- Standort/Niederlassung:
- Meisten 2-3 Zeichen, sehr kundenspezifisch.
- Eher ungeeignet: KFZ-Kennzeichen oder der nächste Flughafen. Beispiel: BN für Bonn und B- für Berlin.
- Die Verwendung von festen Längen spart in manchen der Ergebnisse Trennzeichen
- Art des Systems/Service:
- Meistens 2-3 Zeichen, zum Beispiel: ADC für den AD DC, EXC für Exchange, FIL für Dateiserver, WKS für eine Arbeitsstation (Endgerät) oder LAP für einen Laptop (Endgerät)
- Hardwareart:
- Meisten 1 Buchstabe: P für Physikalisch, V für VMware VM, H für Hyper-V VM, K für KVM VM und X für Xen VM, A für Appliance, C für Clusterobjekt. Hilft wenn der Server nicht Erreichbar ist, wie man auf die Konsole kommt.
Aber es gibt auch Bausteine, die nur für bestimmte Anteile genutzt werden können bzw. sollten. Hier mal ein paar Beispiele für den Bereich Active Directory Gruppen:
- Technische Art der Gruppe: SG=Security Global, DG=Distibution Global, …
- Verwendungsart: RG=Ressourcengruppe, BG=Berechtigungsgruppe, MV= Mail Verteiler
Natürlich kann man das dann auch mit den Globalen Textbausteinen kombinieren.
Hiermal ein paar Beispiele für mögliche Namen:
Systemname : F-ADC001H – Standort Frankfurt, Domain Controller 001, Hyper-V VMSystemname : F-HVH001P – Standort Frankfurt, Hyper-V Host 001, Physikalischer ServerSystemname : F-WKS239P – Standort Frankfurt, Workstation 239, Physikalischer DesktopSystemname : F-PRN0112F4 – Standort Frankfurt, Din A4 Farbdrucker in der 1. Etage, Raum 12- Gruppenname: RG-FIL-Buchhaltung – Berechtigungsgruppe für die Dateifreigabe Buchhaltung
- Gruppenname: DG-MV-Backrunde – Mailverteiler für die Kuchenbäcker
- Gruppenname: SG-WKS-Werkstatt – Gruppe der Computerobjekte in der Werkstatt
- Gruppenrichtlinie: WKS-W10-Windows_Hello – Client Gruppenrichtlinie für Windows 10 Geräte
zum Thema Windows Hello
Stolpersteine – Mind the gap
Es gibt aber auch ein paar Hindernisse, der beliebteste Stolperstein beim schreiben eines Namenskonzeptes ist die technisch mögliche Länge, die ein Name haben darf. Was bringt mir der weltweit genau bestimmbare Standort, wenn ich den nicht in den Servernamen reinbekomme? Wenig…
Hier ein paar Begrenzungen für die Längen:
- Computernamen (NetBios): 15 Zeichen (Sollte immer als Hostnamen für den DNS FQDN verwendet werden!)
- Computernamen (DNS): 63 Zeichen
- Name einer Organisationseinheit im AD: 64 Zeichen
- FQDN einer Domäne: 64 Zeichen
- Benutzernamen (SamAccountName): 20 Zeichen
Weitere Tipps / Erfahrungen:
- Umlaute vermeiden
- In der Kürze liegt die Würze, so lange es verständlich bleibt.
- Es wird nie an alles in der ersten Version gedacht
- Abweichungen müssen korrigiert werden, das Konzept muss benutzt werden (Am besten Organisatorischer Zwang / Vorgabe)
- Man kann es nie allen recht machen, ein Konsens hilft aber bei der Anwendung
Hier ein paar Links zum Nachlesen, gerade auch was weitere Einschränkungen wie Sonderzeichen betrifft:
- Namenskonventionen in Active Directory für Computer, Domänen, Standorte und Organisationseinheiten von Microsoft
- Die Grenzen des Active Directory von Yusuf Dikmenoglu
Tipps zum weiteren Vertiefen:
- Namenskonzept des Active Directory der Universität Tübingen (Gefunden über Google: Namenskonzept), hier wird aber auch auf die AD-Struktur eingegangen. Dies lagere ich lieber in ein eigenes AD Konzept aus.
- Kapitel 19 Namenskonventionen für Active-Directory-Objekte aus dem OpenBook „Integrationshandbuch Microsoft-Netzwerk“ des Rheinwerkverlags
Und zum Schluss noch ein paar Antworten auf die Frage: Warum brauchen wir das?
- Es hilft neuen, externen und vergesslichen, der Mensch kann sich einfacher ein Schema merken als Einzelinformationen. Und auch wenn es ein Schema ist, das Whisky von der Speyside die Domänen Controller sind, so setzt das bestimmtes Wissen oder eine gute Hausbar zum Nachlesen voraus.
- Es wird gelegentlich, je nach Branche nach IT-Konzepten und IT-Managementkonzepten gefragt. Da macht sich ein Namenskonzept schonmal gut.
- Und für die die immer einen besonderen Grund brauchen: Wenn es richtig gemacht wird, kann man das auch direkt abharken: M 2.229 Planung des Active Directory des IT-Grundschutz€ des BSI