Active Directory - Die Gruppen
Seite 10 von 10
Gruppenverwaltung
Wie bereits im Artikel Benutzerverwaltung erwähnt, gehört die Gruppenverwaltung ebenfalls zu der am meisten administrierten Bereichen.
Warum Gruppen?
Aufgrund der Vielfältigkeit, dass mehrere Benutzer die gleichen Berechtigungen haben können, sollte erst gar nicht damit angefangen werden, jeden einzelnen Benutzer bestimmte Berechtigungen zu vergeben. Das macht aus dem Organisatorischen Gesichtspunkt überhaupt keinen Sinn. Es ist auch nicht gerade leicht nach einer gewissen Zeit bestehende Berechtigungen wieder zu finden. Daher gibt es die Gruppen, die den Überblick beibehält.
Die Gruppen sind ebenso Objekte (Blattobjekte) wie die Benutzer, nur mit dem einen Unterschied, dass die Gruppen dazu verwendet werden, um Zugriffsberechtigungen zu bestimmten Ressourcen zu vergeben. Alle Benutzer die Mitglieder in einer zugeordneten Gruppe sind, haben dann auch die Berechtigung diese zugewiesenen Ressourcen zu verwenden.
Wichtige Berechtigungen
- Abteilungsgruppen: Bezeichnet die Gruppierung der Mitarbeiter der Abteilungen.
- Projektgruppen: Diese Gruppen werden angelegt, wenn Abteilungsübergreifende Gruppen vorhanden sind.
- Dateien u. Verzeichnisse: Das wohl am meisten altbekannte, in der Berechtigungsfreigabe. Wer darf auf welche Daten und Verzeichnisse zugreifen.
- Exchange Verteilung: Um die Kommunikation per E-Mail aufrecht zu erhalten, wird fast jeder Mitarbeiter, jedoch alle Abteilungen eine Berechtigung erhalten.
- Drucker: Nicht jedem muss der teuerste Farblaser Multifunktionsdrucker, A1 Plotter oder der moderne 3D-Drucker zur Verfügung gestellt werden.
- Internetnutzung: Obwohl das Internet mittlerweile zur moderne Informationsplattform zählt, heißt es noch lange nicht, dass gewisse Arbeitnehmer für seine Aufgabenerledigungen das Internet benötigt.
- Administrative Berechtigungen: Normale Benutzer haben bestimmte Administrative Berechtigungen für delegierte Aufgaben. Dieser Benutzer muss nicht in der Gruppe Administratoren angehören.
- usw.
Die Gruppenarten
Unterscheiden wir im allgemeinen zwei Gruppenarten
- Sicherheitsgruppen
Zugriff auf bestimmte Ressourcen. Können auch auf Verteilerlisten in Email eingesetzt werden. - Verteilergruppen
Wird in nicht sicherheitsrelevante Aufgaben eingesetzt (z.B. E-Mail-Anwendungen).
Durch das Versenden einer E-Mail an eine Verteilergruppe bekommen alle Mitglieder der Gruppe diese Nachricht.
Die Gruppenbereiche
Dann gibt es noch die 3 Gruppenbereiche die zum Einsatz kommen..
- Globale Gruppen
- Lokale Domänengruppen
- Universelle Gruppen
Globale Gruppen (GG)
Eine globale Gruppe wird zur Sammlung von Benutzerkonten der eigenen Domäne verwendet. Wird eine globale Gruppe erzeugt, bestehen zunächst noch keine Berechtigungen. Dieser Schritt wird erst später vorgenommen.
Merkmale
- Globale Gruppen sind innerhalb sowie auch außerhalb verfügbar.
- Mitgliedern dieser Gruppe können in einer anderen Domäne in der Gesamtstruktur Berechtigungen zugewiesen werden.
- Globale Gruppen werden meist komplett samt Mitglieder in eine lokale Domänengruppe aufgenommen, dadurch erwerben die Mitglieder dieser Gruppe unvermeidlich die Berechtigungen, die den Mitgliedern der lokalen Domänengruppe zugewiesen wurden.
- Globale Gruppen werden dafür verwendet um Verzeichnisobjekte zu verwalten, die für tägliche Wartungsarbeiten (z.B. Computer und Benutzer) anfallen.
- Diese Gruppen werden außerhalb der eigenen Domäne nicht repliziert, daher ist es auch möglich die Konten darin mehrfach zu ändern.
Namenstaufe
Um die Gruppe von den anderen besser zu unterscheiden, ist es sinnvoll bei der Namensvergebung eine klare Linie einzuhalten.
GG für Globale Gruppe = GG-{Bezeichnung}
Lokale Domänengruppen (LG)
Eine lokale Gruppe wird gebildet, um Berechtigungen zu veranlassen. Dabei beinhaltet noch keine dieser Gruppen irgendein Objekt oder eine Gruppe. Hier werden erst die Rechte vergeben, bevor überhaupt ein Objekt darin aufgenommen wird.
Eine vereinfachte Form einer lokalen Domänengruppe wäre nur Lese-Berechtigungen zu geben oder einer weiteren lokalen Domänengruppe Lese u. Schreibberechtigungen zu erteilen.
Merkmale
- In dieser Gruppe werden Benutzerkonten, Globale Gruppen oder Universelle Gruppen angelegt.
- Die Lokale Domänengruppe ist nur in der lokalen Domäne verfügbar und werden in Active Directory (AD) angelegt und verwaltet.
Namenstaufe
Um die Gruppe von den anderen besser zu unterscheiden, ist es sinnvoll bei der Namensvergebung eine klare Linie einzuhalten.
LG für Lokale Gruppe = LG-{Bezeichnung}-AE (Änderung) Beispiel: LG-Bilanzen-AE
Universelle Gruppen (UG)
Besteht eine Struktur nur aus einer einzigen Domäne, stehen nur zwei Gruppen zur Verfügung, die globalen Gruppen und die lokalen Domänengruppen. Die universellen Gruppen kommen nur zum Einsatz, wenn die Gesamtstruktur aus vielen Domänen besteht.
Merkmale
- Eine UG stellt eine Zusammenfassung aus globalen und lokalen Gruppen dar. Benutzerkonten können auch in UG gruppiert werden.
- Diese Gruppe enthält Gruppen aus verschiedenen Domänen.
- Diese Gruppe steht verschiedene Domänen zur Verfügung.
Die Standardgruppen
Bereits nach der Installation von Active Directory, sind bereits viele vordefinierte Gruppen, im Ordner Builtin (engl. Built-in, dt. integriert) und im Ordner User (dt. Benutzer), vorhanden, was dem Administrator definitiv einiges an Arbeit abnehmen wird. Die meisten integrierten Gruppen gehören der Sicherheitsgruppen an und sind bereits mit bestimmte Berechtigungen ausgestattet. Bei einen Aufbau von größeren Strukturen bleibt es dennoch nicht aus, weitere Gruppen in den jeweiligen Ordnern anzulegen.
Lokale Domänengruppe (Ordner: Builtin)
- Administrator
Alle Mitglieder dieser Gruppe haben innerhalb einer Domäne uneingeschränkte Berechtigungen auf alle Verwaltungsaufgaben. - Benutzer
Alle Mitglieder dieser Gruppe dürfen keine Änderungen am Client-System durchführen. Jedoch die meisten herkömmlichen Standardanwendungen ausführen. - Konten-Operatoren
Alle Mitglieder dieser Gruppe können innerhalb einer Domäne die Benutzerkonten, sowie die Gruppenkonten erstellen, editieren und löschen. - Sicherungs-Operatoren
Alle Mitglieder dieser Gruppe können Sicherung. u. Wiederherstellungssaufgaben durchführen, diese beginnt von der einzelnen Datei bis hin zum Sichern des Domänencontrollers innerhalb einer Domäne.
Dann gibt es noch Standardgruppen von den globalen Gruppen. Globale Gruppen sind gewöhnlich Mitglieder in den jeweiligen lokalen Domänengruppen.
Es gibt aber dennoch einige globalen Gruppen die nur für bestimmte Aktionen vorgesehen sind und auch keine Benutzerkonten beinhalten soll, wie z.B. den Replikations-Operator, der vom System verwendet wird. Diese Gruppe ist ausschließlich nur zum Replizieren von Verzeichnissen zuständig.
Globale Gruppe (Ordner: Users)
- Domänen-Admins
Die Gruppe umfasst das Administratorkonto und hat Vollzugriff auf die Domäne. - Domänen-Benutzer
Diese Gruppe ermöglicht, je nach Konfiguration, jedem Domänen-Benutzer das Arbeiten an einem Computer, der sich als Mitglied in der Domäne befindet. - Organisations-Admin
Die Gruppe umfasst das Administratorkonto. Sie haben uneingeschränkte Berechtigungen auf alle Domänen in der Gesamtstruktur.
Standard Systemgruppen
Diese Gruppen werden im eigentlichen Sinne vom System verwaltet. Die Mitgliedschaft kann auch nicht verändert werden. Im Anschluss erstmal die grundlegenden Systemgruppen.
- Authentifizierte Benutzer
Diese Gruppe enthält alle Benutzer, die sich gültig mit ihrem Benutzerkonto an einem System angemeldet haben. - DIALUP
Diese Gruppe enthält Benutzer, die sich über eine Wählverbindung (DFÜ) im System angemeldet haben. - Ersteller u. Besitzer
Diese Gruppe ist eher ein Platzhalter für Berechtigungen. Dieser enthält Benutzer, der eine Ressource erzeugt hat oder den Besitz einer Ressource übernommen hat. - Interaktiv
Diese Gruppe enthält alle Benutzer, die sich derzeit an einer lokalen Workstation angemeldet haben. - Jeder
Diese Gruppe enthält alle Benutzer (inkl. Benutzer aus anderen Domänen), die derzeitig auf das Netzwerk zugreifen. - Netzwerk
Diese Gruppe enthält Benutzer, die derzeit über das Netzwerk angemeldet sind.
Zugriffe: 52464