AD-Berechtigungskonzept

  • 1 Gruppen- und Berechtigungskonzept

    1.1 Strategie zur Erstellung von Gruppen

    Die Herangehensweise erfolgt nach der AGDLP Methode Also Accounts werden in Globale Gruppen und diese in Domänenlokale Gruppen gelegt. Die DL wird zu Berechtigungsvergabe (Permissions) verwendet. !Wichtig und auch großer Vorteil! Immer Berechtigung nur mit lokalen Gruppen vergeben. Da auch Domänenübergreifend Berechtigungen vergeben werden können. - Es muss nicht für jeden Fall eine DL angelegt werden, es können auch Benutzer direkt einer die lokalen Gruppe zugewiesen werden

    Festlegung der Namenskonvention bei Gruppen L = Domänenlokale Gruppe G = Domänenglobale Gruppe U = Universelle Gruppen V = Verteilergruppen

    Für lokale Gruppen Bsp.: L_Site_IT_Public_RW oder L_Site_FE_Projekt_R (R=lesen, RW=lesen und schreiben, L=Ordner auflisten) Es muss ein Festlegung für Abkürzungen der Niederlassungen und Abteilungen gemacht werden.

    1.2 Globale Gruppen

    Die globale Gruppe kann Domänengrenzen überschreiten. Sie dienen dazu, Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zusammenzufassen. Einer globalen Gruppe können Berechtigungen an Ressourcen zugewiesen werden, die sich in einer beliebigen (global) Domäne befinden. Globale Gruppen weisen die folgenden Eigenschaften auf:

    Globale Gruppen können in andere globale Gruppen der gleichen Domäne, zu universellen Gruppen oder zu Gruppen der lokalen Domäne in anderen Domänen hinzugefügt werden. Einer globalen Gruppe können nur Benutzerkonten und andere globalen Gruppen hinzugefügt werden, die in der gleichen Domäne erstellt wurden. Globale Gruppen dienen also zur Verschachtelung von Gruppen um die Weitergabe von Berechtigungen steuern zu können. Die Mitgliedschaft an globalen Gruppen ist allerdings auf Objekte beschränkt, die sich in der gleichen Domäne befinden. Lokale Gruppe oder Domänenlokalegruppe Dieser Gruppenbereich wird zur Vergabe von Berechtigungen an Domänenressourcen (innerhalb der Domäne) genutzt, die sich in der gleichen Domäne befinden.18.1 Die jeweilige Ressource, an der diese Berechtigungen erteilt werden, muß sich nicht auf einem Domänencontroller befinden, kann sich also z.B. auf einem Memberserver befinden, der als Fileserver dient. Für domänenlokale Gruppen gelten die folgenden Eigenschaften:

    1.3 Gruppen der lokalen Domäne

    können nicht in andere Gruppen eingefügt werden. Eine Gruppe der lokalen Domäne kann zu keiner anderen Gruppe hinzugefügt werden. Einer domänenlokalen Gruppe können Benutzerkonten, universelle Gruppen und globale Gruppen jeder beliebigen Domäne hinzugefügt werden. Die Domänenlokale Gruppe wird auf allen Domänencontrollern (der Domäne zu der sie gehört) repliziert.

    1.4 Universelle Gruppe

    Die universellen Gruppen werden genutzt um ähnlichen Ressourcen Treeübergreifend Berechtigungen zu erteilen. Zu beachten ist jedoch, daß die universellen Gruppen im globalen Katalog geführt werden und dieser daher durch intensive Nutzung der universellen Gruppen stark anwachsen kann. Die universellen Gruppen sind mit folgenden Eigenschaften ausgestattet:

    Universelle Gruppen können beliebig in andere universelle Gruppen einer beliebigen Domäne und in domänenlokalen Gruppen der lokalen Domäne eingefügt werden Den universellen Gruppen können Benutzerkonten und Gruppen der lokalen Domäne hinzugefügt werden (Achtung: Keine domänenlokalen Gruppen).

Teilen