Das sogenannte Active Directory (AD) ist eine hierarchisch organisierte Verzeichnisdatenbank und speichert im Netzwerk sämtliche Informationen zu allen Klassen und legt diese in Organisationseinheiten ab.

Diese Organisationseinheit findest man, wenn man das Snap-In Active Directory-Benutzer und -Computer öffnet.

Hier müssen nach dem Heraufstufen zum Domänencontroller folgende Ordner vorhanden sein.

1. Builtin
2. Computer
3. Domain Controller
4. ForeignSecurityPrincipals
5. Users

In dem Ordner User sind bereits Klassen, nach der ersten Inbetriebnahme, vorgegeben.

Die Organisationseinheiten in Active Directory-Benutzer u.-Computer

Klasse vs. Attribut

Die Definition von Klassen, wie Benutzer, Computer oder Gruppen werden mit ihren Attribute im Schema von Active Directory angelegt und verwaltet. Ein Attribut von einer Klasse ist z.B. der Name des Benutzers oder die E-Mail-Adresse des Benutzer.

Verschiedene Ausdrücke
Klasse <-> Objekt
Attribut <-> Eigenschaft

Eine Klasse/Objekt kann mehrere Attribute/Eigenschaften haben.

Das Schema

..ist eine Datenbankstruktur von Active Directory. In ihr werden die Klassen und Attribute definiert. z.B. kann in ihr festgelegt werden, dass es zu der Klasse Benutzer ein Attribut E-Mail-Adresse gibt.

Der Verzeichnisaufbau wird dann durch das Schema vorgegeben, die überall in einer Active Directory-Gesamtstruktur gleich ist. Änderungen am Schema, kann jedoch nur von dem Domänencontroller vorgenommen werden, der mit der Betriebsmasterrolle Schemamaster versehen ist.

Die Domänenstruktur

Eine Domäne ist im Prinzip das zentrale Grundelement in der Objektverwaltung, die aus einer Gruppe von Servern besteht.
Im Zusammenhang mit den Active Directory Diensten (AD DS) und der Active Directory-Datenbank werden wichtige Informationen von Objekten in einem gemeinsamen Active-Directory-Verzeichnis verwaltet.

Objekte sind z.B. Benutzer, Gruppen, Drucker, Softwareanwendungen und auch Richtlinien usw.
Außerdem befähigt Active Directory weitere Funktionen, wie Routing für Mail-Server, Konfiguration von Netzwerkkomponenten und ein Adressverzeichnis für E-Mail-Clients.

Jede Domäne stellt daher im Zusammenhang mit Active Directory, administrativ, auf der Basis der zentralen Datenbank einen eigenen Sicherheitsbereich dar. Die Verwaltung von jeder Domäne wird von einen Domänenadministrator durchgeführt.

Bestandteile der Active Directory

Das Organisationsmodul

Jede Domäne besitzt einen eigenen DNS-Namen. Unter diesem DNS-Namen werden die jeweiligen Objekte abgelegt.

Das Authentifizierungsmodul

Um sich in eine Domäne sicher einzuloggen, muss man die Anmeldeinformationen eines Benutzerkontos besitzen und den jeweiligen Domänenname kennen.

Das Replikationsmodul

Aufgrund von gleichberechtigten Domänencontroller (DC), innerhalb einer Domäne, werden alle zur Domäne gehörenden Objekte und Dateien (z.B. der SYSVOL-Ordner), auf die anderen DC repliziert.

Das Sicherheitsmodul

Durch die Richtlinien der Sicherheitsgrenze, ist die Domänengrenze. Das bedeutet, dass sicherheitskritische Einflüsse nicht über die Grenze weiter verbreitet werden.

Das Administrationsmodul

Die Administratoren bewegen sich im ganzen Bereich innerhalb der Domäne.

Mehrere zusammengefasste Domänen bilden eine sog. Domänenstruktur. Die Gesamtstruktur wird als Forest bezeichnet. Bereits durch die erste Installation einer Domäne entsteht automatisch die Basis (root) für eine Domänenstruktur, in der wiederum weitere Domänen hierarchisch angebunden werden.

Erstellt man eine derartige Domänenstruktur, müssen alle Domänen einen ausdrücklichen Namenskontext einhalten. Würde z.B. die erste Domäne alpha.dom heißen, erben alle Domänen, die sich in dieser Domäne befinden, diesen Namen und stellen je ihren eigenen Namenskontext voran.

z.B. north.alpha.dom oder south.nord.alpha.dom.

Alle Domänen verwenden innerhalb ihres Forest (Gesamtstruktur) dasselbe Schema (Datenbankstruktur), eine gemeinsame Active Directory-Konfiguration und einen gemeinsamen Globalen Katalog, um innerhalb der Domänenstruktur alle Objekte auszutauschen oder zu verschieben.
Nur Einmalig sind einige Gruppen wie der Organisationsadministrator.

Hierarchische Domänenstruktur oder Organisationseinheit

Eine hierarchische Domänenstruktur, mit mehreren untergeordneten Sub-Domäne zu erstellen, ist nicht immer zwingend notwendig. Es gibt in bestimmten Fällen immer eine Ausnahme, dass auch Strukturen nur in den Organisationseinheiten, wie in einer Single-Domäne, umgesetzt werden. Dennoch sprechen immer noch ein paar Gründe dafür, weshalb mehrere Domänen anlegt werden sollten.

1. Unterschiedliche Sicherheitsrichtlinien in einer Firma
2. Unabhängige Verwaltungsbereiche. Die Absprachen von Administratoren untereinander entfällt dadurch.

Domänenstrukturen

Es gibt unterschiedliche Domänenstrukturen die realisiert werden können. Die richtige Wahl zu treffen, hängt von der Beschaffenheit des Unternehmens ab. Das Treffen der Entscheidung, sich für oder gegen eine Domänenstruktur, sollte daher reichhaltig durchdacht sein.

Single-Domäne | Mutiple-Domäne

Reifliche Entscheidung

• Administrative Abspaltung
  Jeder Administrator ist sein eigener Herr in seiner eigenen Domäne. Administrationen können auch nicht in anderen Domänen durchgeführt werden. Durch die Wahl einer Domänenstruktur lässt sich eine klare Trennung der Zuständigkeiten umsetzen.
• Geografische Verteilung
  Betriebe die über eine ausgedehnte Entfernung zu erreichen sind und zusätzlich noch vor Ort über eine lahme Datenverbindung verfügen, kann es sehr wertvoll sein, gesonderte Domänen zu installieren. Aufgrund von Replikationen, die innerhalb einer Domäne stattfinden, werden diese nicht zusätzlich durch einen Performanceeinbruch belastet.
• Sicherheitsbestimmung
  Wenn in Betrieben unterschiedliche Sicherheitsbestimmungen existieren, können auf einer Domänenebene die Richtlinien für eine Trennung der Bereich sorgen. In der Domänenstruktur werden die Richtlinien dann an die Domänen gebunden. Richtlinien die sich auf mehrere Domänen beziehen, gibt es nicht.
• Tiefgehende Verschachtelungen der Organisationseinheiten
  > 5 Stufen ist eine Domänenstruktur empfehlenswert. > 10 Stufen lässt die Leistung merklich nach. Eine Abtrennung der obersten Ebene zu einer einzelnen Domäne, wird empfohlen.
• Objekte pro Domäne
  + Theoretische Angabe: 10.000.000 Objekte (lt. MS).
  + Praxis Empfehlung: 100.000 (lt. MS).
  ~ Ermöglichen ca. 30.000 Benutzer. (Pro Benutzer evtl. 3 Objekte: Benutzerkonto, Drucker, Computer,)

Single-Domäne

Bei einer einzelnen Domäne wird die gesamte interne Struktur eines Unternehmens in einer Organisationseinheit (OU) nachgebildet. Empfehlung:

• < 1000 Benutzern zu denen auch keine Vertrauensbeziehung zu abweichende Fakultäten nötig sind.
• Unternehmen mit einigen Domänen und keinen serverseitigen Informationsaustausch fordern.

Vorteil

• Schlichter Entwurf
• Keine hierarchische Domänenstruktur
• Zentrale Verwaltung sämtlicher Benutzerkonten
• Keine Vertrauensbeziehungen zu anderen Domänen
• Gleichartiges Sicherheitsmodell
• Genügsamer Namensraum

Nachteil

• Erweiterbar durch Expansion ist mit beachtlichen Aufwand verbunden.
• Objekte sind auf gleicher Ebene

Multiple-Domäne

Dieses Modell wird hauptsächlich verwendet, wenn eine zentrale Administration eines großen Firmen-Netzwerks zentral verwaltet werden soll. Aufgrund der Leistungsstabilität, werden in diesem Modell mehrere übergeordnete Domänen installiert.

Empfehlung: < 15000 Benutzern.

Vorteil

• Komplexer Entwurf
• Hierarchische Domänenstruktur
• Zentrale Administration aller Domänen
• Zentrale Administration innerhalb der Domäne
• Vertrauensbeziehungen zu anderen Domänen
• Unterschiedliche Sicherheitsmodelle möglich

Nachteil

• Viele Vertrauensstellungen
• Benutzerkonten auf mehrere Domänen nötig
• Mehrfache Festlegungen von Gruppen
• Kosten

Zusammenfassung

Aufgaben einer Domäne

• Jede Domäne besitzt mind. einen beschreibbaren Domänencontroller.
• Ein Domänencontroller bearbeitet die Anmeldeauthentifizierung von Benutzern an einer Domäne.
• Jeder Domänencontroller ist für eine Domäne zuständig.
• Ein Domänencontroller besitzt die Datenbank Schema, in der das Anlegen, Bearbeiten und Löschen von Objekten möglich ist.
• Gibt es mehrere Domänencontroller in einer Forest, werden alle Datenbankveränderungen an alle DC's repliziert.
• Ein Domänencontroller beantwortet die Suchanfragen von der Datenbank.

Global Catalog

Ein Global Catalog (dt.: globaler Katalog) umfasst alle wichtigen Informationen (Attribute) zu den Klassenobjekten in AD. Suchvorgänge können durch den global catalog auch in sehr starken Domänenstrukturen überaus effektiv erledigt werden. Nicht alle Attribute werden in einem global catalog festgehalten, sondern nur die ausgewählten eines Objekttyps, die auch auf allen Katalogservern in der Domänenstruktur untereinander repliziert werden. Diese Informationen stehen somit den anderen Domänen zur Verfügung.

Wird der erste Domänencontroller einer Domäne installiert, ist dieser zugleich auch immer der Global Catalog-Server.

Über folgenden Pfad kann man nach dem heraufstufen des ersten Domänencontroller überprüfen, ob der Domänencontroller tatsächlich ein Global Catalog geworden ist.
Servermanager -> Tools -> Active Directory-Standorte und -Dienste -> Default-First-Site-Name -> Servers/[Servername] -> NTDS-Settings

Vorgehensweise

1. Klicke mit der rechten Maustaste auf NTDS-Settings
   .> Das Kontextmenü öffnet sich.
2. Klicke auf den Menüpunkt Eigenschaften.
   > Das Dialogfenster Eigenschaften von NTDS Settings öffnet sich.
   Auf der linken Seite sollte das Kontrollkästchen Globaler Katalog aktiviert sein.

   

3. Klicke auf die Schaltfläche OK, um das Dialogfenster Eigenschaften von NTDS Settings zu schließen.

Meldet sich z.B. ein Benutzer auf seinen Host in der Domäne an, nimmt der Host Verbindung zum Domänencontroller auf. Der Domänencontroller überprüft die Anmeldeinformationen von diesem Benutzer.

Anschließend holt sich der Domänencontroller weitere Informationen vom Globalen Katalog ein, ob noch zusätzliche Informationen zum Benutzer, wie Zuordnung zu anderen universellen Gruppen, vorhanden sind.

Der Domänencontroller stellt die gesammelten Informationen zusammen und führt den Anmeldevorgang aus und übergibt die Informationen an den Client weiter.

Findet ein Anmeldeprozess sehr lange statt, kann es meist daran liegen, dass der Katalogserver zu weit entfernt ist. Deshalb ist besonders darauf zu achten, dass sich der Katalogserver immer in der Nähe von den am meisten anmeldenden Hosts befindet.

DC & RODC

Bereits bei der Installation des ersten Domänencontrollers, wird das Verzeichnis aufgebaut. Jeder weitere Domänencontroller, der sich in der identischen Domäne befindet und bei der Installation die Rolle erhält, erwirbt somit eine Kopie von diesem Verzeichnis. In gewissen Abständen werden, aufgrund des Replikationsverfahren (Multimaster-Replikation), alle Informationen unter den Domänencontrollern ausgetauscht, damit sich jeder Domänencontroller immer auf dem aktuellen Stand befindet.

Seit der letzten Windows Server 2008 Version gibt es noch einen weiteren Domänencontroller, der in Bereiche eingesetzt werden kann, wenn keine physikalische Sicherheit (Serverraum) vorhanden ist. Dazu aber mehr im nächsten Abschnitt RODC.

Aufgabe s Domänencontroller

• Jeder Domänencontroller ist für eine Domäne zuständig. Sind mehrere Domänencontroller in einer Domäne vorhanden, erfolgt bei einer Änderung an der Datenbank eine Replizierung auf allen Systemen.
• Es ist mind. ein beschreibbarer Domänencontroller in einer Domäne verfügbar.
• Der Domänencontroller veranlasst die Anmeldung der Benutzer.
• Ein Domänencontroller hat die Datenbank Active Directory, in der das erstellen, bearbeiten und löschen von Objekten möglich ist.
• Suchanfragen werden von einem Domänencontroller, im Zusammenhang mit der Datenbank Active Directory, beantwortet.

RODC

Dieser Domänencontroller wird in Umgebungen eingesetzt, wo kein Serverraum zur Verfügung gestellt werden kann, z.B. Zweigstellenumgebung eines Unternehmens mit wenigen Arbeitsplätzen. Aufgrund dessen lohnt es sich nicht einen Vollzeit-Administrator dafür einzusetzen.

Durch eine Installation eines RODC (Read Only Domänencontroller) ist der Betreuungsaufwand sehr gering, dass somit auch ein Angestellter solche Administrationsaufgaben übernehmen kann. Der Benutzer muss auch nicht der Administratorgruppe angehören. Normale Benutzerrechte reichen allemal für das Einspielen von Updates und sonstige kleine Wartungsarbeiten aus.

Ein RODC verfügt auch über alle Objekte und Attribute aus der Active Directory und steht auch in Verbindung mit einen beschreibbaren Domänencontroller.

Änderungen die von einem Host aus getätigt werden, können auf einen RODC nicht direkt beschrieben werden, deshalb finden die Änderungen erstmal auf einen beschreibbaren Domänencontroller statt, der die Informationen (uni-direktional) an alle RODC's, aufgrund der Replikationspartnerschaft, nur verteilt und nicht direkt abrufen kann.

Organisationseinheiten (OUs)

Der Aufbau von Organisationseinheiten (OU, organizational unit) ist einer der grundlegendstenersten Handlungen bei der Tätigkeit mit Active Directory. Eine gut vorbereitete Rangfolge von Organisationseinheiten (Containerobjekt) ist die Vorstufe einer gut administrierbaren Domäne.
Ähnlich wie im Windows-Explorer, lässt es sich auch in einer Organisationseinheit arbeiten.

In einer Organisationseinheit (OU) können auch weitere Organisationseinheiten (OUs) erstellt werden. Die OUs werden in Active Directory genauso wie die eigentlichen Containerobjekte mit einem Ordnersymbol dargestellt, nur mit dem Unterschied, dass die OUs-Ordnersymbole mit einem weiteren Symbol gekennzeichnet sind.

Nach der Installation von Active Directory sind bereits 4 Containerobjekte vorhanden. Weitere Containerobjekte (Ordner ohne Symbol) können auch von einem Administrator nicht angelegt werden, sondern nur OUs.

Vorteil

• Abgerundete Administration
• Die allgemeine Organisationsstruktur eines Unternehmens kann nachgeahmt werden.
• Speichern von Objekten, wie Benutzer (Blattobjekt), die an bestimmte Rechte gebunden werden.
• Verteilung von administrativen Aufgaben an andere Personen.
  Die Administration einer OU kann an eine ausgewählte Person delegiert werden.

Organisation der Struktur

Wenn es um die Planung und den Aufbau der Organisationseinheiten geht, muss der Kopf nicht unbedingt zum Glühen gebracht werden, wenn verschieden Grundgedanken bereits vorhanden sind.

Die Organisationseinheiten dienen in erster Linie zu administrativen Zwecken. Bleibt dennoch vorher zu erwähnen, dass ein optimale Modell nicht existiert. Oftmals müssen Modelle untereinander vermischt werden, um eine individuelle Organisationsstruktur für ein Unternehmen zu planen.

Verschiedene Modelle

Geografisch

In einem geografischen Modell werden Standorte der Zweigstellen nachgebildet. Hier ist unbedingt darauf zu achten, in wie weit in den verschiedenen Standorten, die jeweilige WAN-Verbindung ausgebaut ist.

Geografische Mehrdomänen

In diesem Modell besteht die Möglichkeit mehrere Domänen zu installieren, die zueinander keine Daten replizieren.
Benötigt wird hier allerdings in jeder Domäne min. ein Domänencontroller und eine Domänenadministrator. Der Arbeitsaufwand ist hier sehr viel höher, wenn die Unternehmensstruktur unterteilt wird.

Würde z.B. ein Mitarbeiter die Zweigstelle wechseln, muss das Benutzerkonto von der anderen Domäne entfernt und in der anderen wieder neu angelegt werden. Bei einer Domäne mit mehreren Organisationseinheiten bräuchte man diesen Mitarbeiter einfach nur in eine andere OU verschieben.

Unternehmen

Das inzwischen weit verbreitete und meist eingesetzte Unternehmensmodell spiegelt das Unternehmen in seiner Struktur. Muss aber nicht bis in die letzte Ecke umgesetzt werden.

Wann legt man hier eine Organisationseinheit (OU) an?

• Objekte sollen im Zusammenhang angezeigt werden.
• Objekten in einer OU sollen bestimmte Gruppenrichtlinien zugewiesen werden.
• Die Administration soll anschließend an eine andere Person übergeben werden.
• In Betrieben in der es hauptsächlich identische Arbeitsplätze gibt.
  (öffentlicher Dienst, Produktionsfirmen, streng strukturierte Unternehmen)

Administration

Die Einteilung der Benutzer erfolgt in der Organisationseinheit nach deren administrativen Aufgaben.
Dies macht allerdings nur Sinn, wenn genügend Administratoren für Unterstützungsarbeiten, in bestimmten Einsatzgebiete, vorhanden sind.

Demzufolge gibt es

• OU Administratoren in dem sich Administratoren mit eingeschränkten Rechten befinden.
• OU Domänenadministratoren, der weitere Domänen installieren darf, dennoch eingeschränkte Rechte besitzt.
• OU Abteilungsleiter
• OU Gebietsleiter
• OU Benutzer
• Sinnvoll ist es auf alle Fälle, wenn noch weitere Unterteilungen angelegt werden.

Projekt

Bei diesem Modell sollte etwas bedachter angegangen werden, da dieses Modell nicht der Unternehmensstrukturierung entspricht.

Ist eine Gruppe stetig mit langandauernden Projekten beschäftigt, lohnt sich hier der Aufbau erst, wenn die Gruppen über lange Zeiten bestehen bleiben. Wechseln allerdings Mitarbeiter aus dieser Gruppe zu einem anderen Projekt, werden die jeweiligen Benutzerkonten zwischen den Organisationseinheiten verschoben.
Ist ein Mitarbeiter z.B. in mehreren Projekten vertreten, muss ein zweites Benutzerkonto angelegt werden, da in der AD nur ein Benutzerkonto für eine Person angelegt werden kann.

Hat man sich erst für ein Modell entschieden, geht’s an die Entwürfe der Organisationseinheiten, auf Papier oder ähnlichem.

• Welche Objekttypen werden in der Organisationseinheit gespeichert werden?
  Administratoren, Benutzerkonten, Gruppen, Computer, Drucker, Scanner, Voice Over IP Telfone usw.
• Welche Sinn soll die erste Ebene der Organisationseinheit haben?

In der oberen Ebene können bereits Objekte abgelegt werden, oder weitere Organisationseinheiten erstellt werden.

• Wie sollen die Namen der Organisationseinheiten formiert werden?
  In einer Domäne müssen die OUs keinen ausführlichen Namen besitzen, da diese durch die Position in der Rangordnung eindeutig bestimmt wird. (Länge: 64 Zeichen ohne Einschränkung)
• Wer administriert die Organisationseinheiten?

Administrative Aufgaben übergeben

Aufgrund der meist vielen und stark angewachsenen Organisationseinheiten (OU), macht es Sinn sog. Hilfsadministratoren mit ins Boot zu nehmen, denen bestimmte Aufgaben zugewiesen (delegiert)werden, die fast täglich an einer Rolle durchgeführt werden. Dies kann ein ganz normaler Standard-Benutzer sein, der auch nicht, aus Sicherheitsgründen, zur Gruppe der Administratoren gehört. Hierbei sollte aber auch in Betracht gezogen werden, dass eine weitere Person, als Vertretung, zwecks Urlaub oder Krankheitsfälle, eingesetzt werden kann.

Jeder Administrator, der eine neu OU angelegt hat ist auch daran gebunden, diese zu administrieren. Ein Domänenadministrator kann allerdings die Rechte an der OU übernehmen bzw. zurücknehmen und an einen anderen Benutzer übergeben.

Aufgaben eines OU-Administrators

• Erstellen, Bearbeiten, Löschen von Objekten
• Entscheiden, welche Richtlinien von den oberen OUs übernommen werden.
• Entscheiden, welche Richtlinien hinzugefügt und von anderen untergeordneten OUs geerbt werden sollen.
• Entscheiden, ob die neu erstellte Unterebene von einer anderen Person administriert werden soll.

Vorteile durch eine Delegation der Administration

• Aufgabenverteilung
• Vertretung in Urlaub und Krankheit

Damit anschließend nicht ein komplettes Durcheinander, ihm Bereich "Wer darf jetzt was!", entsteht. Ist es sehr wichtig, dass die Aufgabenverteilung, an die Administratoren, stets zu dokumentiert ist.

Dazu, wenn nötig, am besten eine Hierarchie anlegen, damit übergeordneten und untergeordneten Administratoren, die eine Delegierung übernommen haben, jederzeit nachgeschlagen werden kann, wer für welche Bereichen zuständig ist.

Es ist durchaus möglich, dass ein untergeordneter Administrator die Rechte hat, Kennwörter zurückzusetzen, aber nicht das Recht besitzt Benutzerkonten zu entfernen. Somit kann dieser Administrator schnell eingreifen, wenn sich ein Benutzer ausgesperrt hat, weil er z.B. nach seinem Urlaub das Kennwort nicht mehr weiß. :-)

Delegationen laufen auch nach den sog. Vererbprinzip ab, deshalb ist es auch besonders wichtig vorher eine Hierarchie mit den jeweiligen (Hilfs-)Administratoren anzulegen.

Mehrere untergeordneter Administrator können im Prinzip die gleichen Rechte besitzen, wie der Administrator in den oberen Rängen, da standardmäßig die Rechte vererbt werden.

Benutzerverwaltung

Kaum mehr Arbeiten fallen in einer anderen Objektverwaltung an, als bei der Benutzer.- und Gruppenverwaltung. Benutzer werden angelegt, umbenannt, entfernt oder auch in andere Gruppen verschoben, die wiederum Zugriff auf bestimmte Ressourcen im Netzwerk haben.
Benutzer enthalten Informationen wie Benutzername, Kennwort, Abteilungszugehörigkeit oder unter anderem die Telefonnummer, die in einer Datenbank festgelegt werden.

Das gesamte Active Directory (AD) basiert auf Konten, die in einem Sicherheitskonzept untergebracht sind. Jedes Benutzer wird in AD durch sein Benutzerkonto erkannt und es werden ihm die zugewiesenen Ressourcen zur Verfügung gestellt, die der Benutzer im Netzwerk benötigt.

Die Administration von Benutzerkonten ist auch eines der beachtlichsten Aufgabengebiete. Eine unüberlegter Umgang mit einem Benutzerkonto könnte zu Sicherheitslücken führen, wenn z.B. ein ausgeschiedener Mitarbeiter nach wie vor Zugang zu diesem Netzwerk hätte. Der Administrator muss also dafür sorgen, dass ein bereits existierendes Sicherheitskonzept erhalten bleibt.

Gruppenverwaltung

Wie bereits im Artikel Benutzerverwaltung erwähnt, gehört die Gruppenverwaltung ebenfalls zu der am meisten administrierten Bereichen.

Warum Gruppen?
Aufgrund der Vielfältigkeit, dass mehrere Benutzer die gleichen Berechtigungen haben können, sollte erst gar nicht damit angefangen werden, jeden einzelnen Benutzer bestimmte Berechtigungen zu vergeben. Das macht aus dem Organisatorischen Gesichtspunkt überhaupt keinen Sinn. Es ist auch nicht gerade leicht nach einer gewissen Zeit bestehende Berechtigungen wieder zu finden. Daher gibt es die Gruppen, die den Überblick beibehält.

Die Gruppen sind ebenso Objekte (Blattobjekte) wie die Benutzer, nur mit dem einen Unterschied, dass die Gruppen dazu verwendet werden, um Zugriffsberechtigungen zu bestimmten Ressourcen zu vergeben. Alle Benutzer die Mitglieder in einer zugeordneten Gruppe sind, haben dann auch die Berechtigung diese zugewiesenen Ressourcen zu verwenden.

Wichtige Berechtigungen

• Abteilungsgruppen: Bezeichnet die Gruppierung der Mitarbeiter der Abteilungen.
• Projektgruppen: Diese Gruppen werden angelegt, wenn Abteilungsübergreifende Gruppen vorhanden sind.
• Dateien u. Verzeichnisse: Das wohl am meisten altbekannte, in der Berechtigungsfreigabe. Wer darf auf welche Daten und Verzeichnisse zugreifen.
• Exchange Verteilung: Um die Kommunikation per E-Mail aufrecht zu erhalten, wird fast jeder Mitarbeiter, jedoch alle Abteilungen eine Berechtigung erhalten.
• Drucker: Nicht jedem muss der teuerste Farblaser Multifunktionsdrucker, A1 Plotter oder der moderne 3D-Drucker zur Verfügung gestellt werden.
• Internetnutzung: Obwohl das Internet mittlerweile zur moderne Informationsplattform zählt, heißt es noch lange nicht, dass gewisse Arbeitnehmer für seine Aufgabenerledigungen das Internet benötigt.
• Administrative Berechtigungen: Normale Benutzer haben bestimmte Administrative Berechtigungen für delegierte Aufgaben. Dieser Benutzer muss nicht in der Gruppe Administratoren angehören.
• usw.

---

Die Gruppenarten

Unterscheiden wir im allgemeinen zwei Gruppenarten

1. Sicherheitsgruppen
   Zugriff auf bestimmte Ressourcen. Können auch auf Verteilerlisten in Email eingesetzt werden.
2. Verteilergruppen
   Wird in nicht sicherheitsrelevante Aufgaben eingesetzt (z.B. E-Mail-Anwendungen).
   Durch das Versenden einer E-Mail an eine Verteilergruppe bekommen alle Mitglieder der Gruppe diese Nachricht.

Die Gruppenbereiche

Dann gibt es noch die 3 Gruppenbereiche die zum Einsatz kommen..

1. Globale Gruppen
2. Lokale Domänengruppen
3. Universelle Gruppen

Globale Gruppen (GG)

Eine globale Gruppe wird zur Sammlung von Benutzerkonten der eigenen Domäne verwendet. Wird eine globale Gruppe erzeugt, bestehen zunächst noch keine Berechtigungen. Dieser Schritt wird erst später vorgenommen.

Merkmale

• Globale Gruppen sind innerhalb sowie auch außerhalb verfügbar.
• Mitgliedern dieser Gruppe können in einer anderen Domäne in der Gesamtstruktur Berechtigungen zugewiesen werden.
• Globale Gruppen werden meist komplett samt Mitglieder in eine lokale Domänengruppe aufgenommen, dadurch erwerben die Mitglieder dieser Gruppe unvermeidlich die Berechtigungen, die den Mitgliedern der lokalen Domänengruppe zugewiesen wurden.
• Globale Gruppen werden dafür verwendet um Verzeichnisobjekte zu verwalten, die für tägliche Wartungsarbeiten (z.B. Computer und Benutzer) anfallen.
• Diese Gruppen werden außerhalb der eigenen Domäne nicht repliziert, daher ist es auch möglich die Konten darin mehrfach zu ändern.

Namenstaufe
Um die Gruppe von den anderen besser zu unterscheiden, ist es sinnvoll bei der Namensvergebung eine klare Linie einzuhalten.
GG für Globale Gruppe = GG-{Bezeichnung}

Lokale Domänengruppen (LG)

Eine lokale Gruppe wird gebildet, um Berechtigungen zu veranlassen. Dabei beinhaltet noch keine dieser Gruppen irgendein Objekt oder eine Gruppe. Hier werden erst die Rechte vergeben, bevor überhaupt ein Objekt darin aufgenommen wird.
Eine vereinfachte Form einer lokalen Domänengruppe wäre nur Lese-Berechtigungen zu geben oder einer weiteren lokalen Domänengruppe Lese u. Schreibberechtigungen zu erteilen.

Merkmale

• In dieser Gruppe werden Benutzerkonten, Globale Gruppen oder Universelle Gruppen angelegt.
• Die Lokale Domänengruppe ist nur in der lokalen Domäne verfügbar und werden in Active Directory (AD) angelegt und verwaltet.

Namenstaufe
Um die Gruppe von den anderen besser zu unterscheiden, ist es sinnvoll bei der Namensvergebung eine klare Linie einzuhalten.
LG für Lokale Gruppe = LG-{Bezeichnung}-AE (Änderung) Beispiel: LG-Bilanzen-AE

Universelle Gruppen (UG)

Besteht eine Struktur nur aus einer einzigen Domäne, stehen nur zwei Gruppen zur Verfügung, die globalen Gruppen und die lokalen Domänengruppen. Die universellen Gruppen kommen nur zum Einsatz, wenn die Gesamtstruktur aus vielen Domänen besteht.

Merkmale

• Eine UG stellt eine Zusammenfassung aus globalen und lokalen Gruppen dar. Benutzerkonten können auch in UG gruppiert werden.
• Diese Gruppe enthält Gruppen aus verschiedenen Domänen.
• Diese Gruppe steht verschiedene Domänen zur Verfügung.

---

Die Standardgruppen

Bereits nach der Installation von Active Directory, sind bereits viele vordefinierte Gruppen, im Ordner Builtin (engl. Built-in, dt. integriert) und im Ordner User (dt. Benutzer), vorhanden, was dem Administrator definitiv einiges an Arbeit abnehmen wird. Die meisten integrierten Gruppen gehören der Sicherheitsgruppen an und sind bereits mit bestimmte Berechtigungen ausgestattet. Bei einen Aufbau von größeren Strukturen bleibt es dennoch nicht aus, weitere Gruppen in den jeweiligen Ordnern anzulegen.

Lokale Domänengruppe (Ordner: Builtin)

• Administrator
  Alle Mitglieder dieser Gruppe haben innerhalb einer Domäne uneingeschränkte Berechtigungen auf alle Verwaltungsaufgaben.
• Benutzer
  Alle Mitglieder dieser Gruppe dürfen keine Änderungen am Client-System durchführen. Jedoch die meisten herkömmlichen Standardanwendungen ausführen.
• Konten-Operatoren
  Alle Mitglieder dieser Gruppe können innerhalb einer Domäne die Benutzerkonten, sowie die Gruppenkonten erstellen, editieren und löschen.
• Sicherungs-Operatoren
  Alle Mitglieder dieser Gruppe können Sicherung. u. Wiederherstellungssaufgaben durchführen, diese beginnt von der einzelnen Datei bis hin zum Sichern des Domänencontrollers innerhalb einer Domäne.

Dann gibt es noch Standardgruppen von den globalen Gruppen. Globale Gruppen sind gewöhnlich Mitglieder in den jeweiligen lokalen Domänengruppen.
Es gibt aber dennoch einige globalen Gruppen die nur für bestimmte Aktionen vorgesehen sind und auch keine Benutzerkonten beinhalten soll, wie z.B. den Replikations-Operator, der vom System verwendet wird. Diese Gruppe ist ausschließlich nur zum Replizieren von Verzeichnissen zuständig.

Globale Gruppe (Ordner: Users)

• Domänen-Admins
  Die Gruppe umfasst das Administratorkonto und hat Vollzugriff auf die Domäne.
• Domänen-Benutzer
  Diese Gruppe ermöglicht, je nach Konfiguration, jedem Domänen-Benutzer das Arbeiten an einem Computer, der sich als Mitglied in der Domäne befindet.
• Organisations-Admin
  Die Gruppe umfasst das Administratorkonto. Sie haben uneingeschränkte Berechtigungen auf alle Domänen in der Gesamtstruktur.

---

Standard Systemgruppen

Diese Gruppen werden im eigentlichen Sinne vom System verwaltet. Die Mitgliedschaft kann auch nicht verändert werden. Im Anschluss erstmal die grundlegenden Systemgruppen.

• Authentifizierte Benutzer
  Diese Gruppe enthält alle Benutzer, die sich gültig mit ihrem Benutzerkonto an einem System angemeldet haben.
• DIALUP
  Diese Gruppe enthält Benutzer, die sich über eine Wählverbindung (DFÜ) im System angemeldet haben.
• Ersteller u. Besitzer
  Diese Gruppe ist eher ein Platzhalter für Berechtigungen. Dieser enthält Benutzer, der eine Ressource erzeugt hat oder den Besitz einer Ressource übernommen hat.
• Interaktiv
  Diese Gruppe enthält alle Benutzer, die sich derzeit an einer lokalen Workstation angemeldet haben.
• Jeder
  Diese Gruppe enthält alle Benutzer (inkl. Benutzer aus anderen Domänen), die derzeitig auf das Netzwerk zugreifen.
• Netzwerk
  Diese Gruppe enthält Benutzer, die derzeit über das Netzwerk angemeldet sind.