Haben mehrere Benutzer die gleiche Anforderung, um zum Beispiel auf die gleiche Ressource oder Freigabe zuzugreifen, ist es empfehlenswert den Zugriff der jeweiligen Gruppe zu erteilen und nicht einzelnen Benutzerkonten.
Wann immer eine Maßnahme nicht nur einen Benutzer, sondern mehrere betrifft, bieten sich Gruppen an.
Wenn die Rede von einer Gruppe ist, betrifft das automatisch auch alle als Mitglieder geführten Benutzer.
Das bedeutet, eine Berechtigung die einer Gruppe zugeteilt wurde, gilt automatisch auch für alle Benutzer die ihr als Mitglied angehören.


Das Active Directory kennt dabei zwei Gruppentypen, von denen einer bei der Erstellung einer Gruppe ausgewählt werden muss.
Falls sich die Domäne im einheitlichen Domänenfunktionsmodus befindet (Windows 2000 pur oder Windows Server 2003), ist es möglich eine Umwandlung des Gruppentyps (über den Umweg einer universelle Gruppe, das geht aber nicht wenn die Mitgliedschaftsregeln nicht eingehalten werden können) zu einem späteren Zeitpunkt zu ändern. In beiden Ebenen wird das Verschachteln von Gruppen, zum Beispiel eine globale Gruppe in eine andere globale Gruppe unterstützt, nicht aber in den Domänenfunktionsebenen “Windows 2000 gemischt” sowie “Windows Server 2003 Interim” (Verteilergruppen können auch im mixed Mode geschachtelt werden). Folgende beiden Gruppentypen existieren:



  1. Sicherheitsgruppen:
    Sicherheitsgruppen können Berechtigungen auf Active Directory-Objekte (Drucker etc.) oder für das NTFS-Dateisystem erteilt werden.
    Damit entsprechen Sicherheitsgruppen dem Konzept der Gruppen bei Windows NT.
    Des Weiteren ist es möglich, Sicherheitsgruppen als E-Mail Verteilungslisten zu nutzen. 

  2. Verteilergruppen:
    Dieser Gruppentyp ist erstmals mit dem Active Directoy von Windows 2000 eingeführt worden.
    Mit diesem Gruppentyp ist es möglich (in Verbindung mit einer E-Mail Applikation wie es z.B. Exchange darstellt), diese als Verteilerliste zu nutzen
    und Nachrichten über die Verteilergruppe an alle ihr angehörenden Mitglieder schicken zu können.
    Der Nachteil dieser Gruppe: Es lassen sich keine Berechtigungen vergeben, wie es bei einer Sicherheitsgruppe der Fall ist.
    Exchangemäßig kann eine Sicherheitsgruppe gleichzeitig auch eine Verteilergruppe sein.

Diese beiden Gruppen erstrecken sich im Active Directory auf einen bestimmten Bereich, den Gruppenbereich.
Microsoft hat das bereits aus Windows NT bekannte Konzept der Gruppen beim Active Directory erweitert, denn NT kennt lediglich lokale und globale Gruppen, bei denen es sich automatisch um Sicherheitsgruppen handelt.
Das Active Directory kennt zusätzlich lokale Domänengruppen sowie universelle Gruppen.

Domänenlokale Gruppen haben folgende Einstellungen:



  1. Sie sind in allen Gesamtstruktur- und Domänenfunktionsebenen vorhanden.
  2. Sie können nur auf Windows 2000, Windows XP oder Windows Server 2003-Systemen in einer Domäne angewendet werden, natürlich nur, wenn sich die Domäne im einheitlichen Modus (Native) befindet. Wenn sich die Domäne z.B. in der Funktionsebene “Windows 2000 gemischt” befindet, kann eine domänenlokale Gruppe nur auf Domänencontrollern verwendet werden, ähnlich wie eine lokale Gruppe.
    Oder anders ausgedrückt, befindet sich die Domäne nicht im Domänenfunktionsmodus Windows 2000 pur oder Windows Server 2003,
    werden domänenlokale Gruppen nur auf den DCs und nicht auf den Mitgliedsservern angezeigt.

  3. Sie können nur auf Systemen in derselben Domäne angewendet werden, in der die Gruppe definiert ist.
    Es ist z.B. nicht möglich, Berechtigungen für Ressourcen die außerhalb der Domäne einer domänenlokalen Gruppe liegen, dieser domänenlokalen Gruppe zuzuweisen.

  4. Eine domänenlokale Gruppe kann Mitglieder von globalen Gruppen in derselben Domäne oder einer beliebigen vertrauenswürdigen Domäne, von universellen Gruppen in derselben Gesamtstruktur oder einer beliebigen vertrauenswürdigen Gesamtstruktur sowie von anderen domänenlokalen Gruppen in derselben Domäne umfassen. Oder auch direkt Benutzer aus vertrauten Domänen.

Hinweis: Es ist empfehlenswert, Benutzerkonten nicht direkt zu einer domänenlokalen Gruppe hinzuzufügen. Stattdessen sollten einzelne Benutzer mit gemeinsamen Merkmalen zu einer globalen Gruppe und diese globale Gruppe in eine domänenlokale Gruppe hinzugefügt werden. Auf diese Weise sind domänenlokale Gruppen einfacher zu verwalten.



Universelle Sicherheitsgruppen besitzen folgende Merkmale:



  1. Diese Gruppe ist nur in den Domänenfunktionsebenen Windows 2000 pur und Windows Server 2003 vorhanden
    (Universelle Verteilergruppen gibt es auch im nicht einheitlichen Domänenmodus).

  2. Sie können Mitglieder sämtlicher Domänen innerhalb der eigenen Gesamtstruktur enthalten, ebenfalls globale Gruppen und andere universelle Gruppen.
  3. Universelle Gruppen werden auf globalen Katalogservern (GC) in der Gesamtstruktur gespeichert, in der die Gruppe definiert wurde (incl. aller Mitglieder).
  4. Sie können dazu verwendet werden, um Rechte oder Berechtigungen für Ressourcen einer beliebigen Domäne innerhalb einer Gesamtstruktur zuzuweisen, und auch aller vertrauenden Domänen außerhalb der Gesamtstruktur.

Es ist wichtig den Unterschied zwischen Berechtigungen und Rechte zu kennen. Bei Berechtigungen kann man Benutzern eine bestimmte Zugriffsebene auf gemeinsam genutzte Netzwerkressourcen gewähren, zum Beispiel die Fähigkeit, eine Datei zu lesen oder Dokumente für einen bestimmten Drucker zu verwalten. 
Zum Beispiel ist die Fähigkeit, sich lokal an einem Domänencontroller anzumelden, ein Benutzerrecht; genauso die Fähigkeit, Dateien und Ordner zu sichern.


In der Praxis hat sich folgende Verfahrensweise etabliert: Das AGDLP Prinzip.
Accounts go in Global Groups nested in Domain Local Groups that are granted Permissions.
Man fügt ein Benutzerkonto (Account) in eine Globale Gruppe, anschließend in eine dömänenlokale Gruppe und vergibt die gewünschte Berechtigung auf die Ressource. 



Zusammenfassend lässt sich sagen, dass A-G-DL-P-Prinzip, arbeitet nicht mit lokalen, sondern mit domänenlokalen Gruppen (solchen, die im Active Directory gespeichert sind) und funktioniert nur im native Mode, da im mixed Mode die domänenlokalen Gruppen nur auf den DCs eingesetzt werden können. Erst im native Mode stehen die DL-Gruppen auf allen Domänenmitgliedern zur Verfügung.


 


Fallbeispiel: 
Das Benutzerkonto (
A) “Hans Marktschreier” wird in die globale Gruppe (G) “GG-Markt” hinzugefügt. Die globale Gruppe “GG-Markt” wird wiederum in die domänenlokale Gruppe (DL) “DL-Markt” hinzugefügt. Nun erteilt man der domänenlokalen Gruppe “DL-Markt” die gewünschte Zugriffsberechtigung (z.B. einer Freigabe bzw Ressource) ein.
Oder das Benutzerkonto (
A) “Hans Marktschreier” wird in die globale Gruppe (G) “GG-Markt” hinzugefügt. Die globale Gruppe “GG-Markt” wird erneut in eine globale Gruppe (oder universelle Gruppe) “GG2-Markt” hinzugefügt und anschließend in die domänenlokale Gruppe (DL) “DL-Markt.


Weitere Informationen:
Gruppenbereich
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/79d93e46-ecab-4165-8001-7adc3c9f804e.mspx?mfr=true
 


Berechtigungen durch Windows-Gruppen setzen
http://www.windowsitpro.de/themen/systemmanagement/article.html?thes=9795,9810,9825,9802,9822&art=/articles/2006011/30852687_ha_WM.html

Comments are closed, but trackbacks and pingbacks are open.