Gruppen (Entwurf)
Inhalt:
 |
Gruppen
Gruppentyp
- Sicherheitsgruppen
- Werden zur Erteilung und Verweigerung von Rechten und Berechtigungen an Benutzer- und Computergruppen verwendet. Können auch zum Versenden von E-Mails eingesetzt werden.
- Verteilergruppen
- Dienen zum Einsatz mit E-Mail-Diensten, die die Active Directory Struktur unterstützen, z.B. Exchange 2000. Können nicht zu Sicherheitszwecken verwendet werden.
Gruppenbereich
- Domänenlokale Gruppen
- Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
- Erlauben Zugriff auf Ressourcen innerhalb einer Domäne.
- Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.
- Globale Gruppen
- Enthalten Mitglieder aus derselben Domäne.
- Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
- Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.
- Der Gruppenname wird im globalen Katalog repliziert.
- Globale Gruppen werden im globalen Katalog angezeigt.
- Universale Gruppen
- Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
- Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
- Mitgliedschaften werden im globalen Katalog in der Gesamtstruktur repliziert. Mitgliedschaften und Änderungen sollten deshalb auf ein Minimum reduziert werden. Es sollten keine einzelnen Benutzer zugefügt werden.
- Universale Gruppen stehen nur im einheitlichen Modus zur Verfügung.
| Gruppenbereich | Enthält (gemischt) | Enthält (einheitlich) | Mitglied von | Berechtigungen auf |
|---|---|---|---|---|
| Domänenlokal | Benutzer und globale Gruppen aller Domänen | Benutzer, globale und universale Gruppen aller Domänen Domänenlokale Gruppen derselben Domäne |
Domänenlokale Gruppen derselben Domäne | Ressourcen derselben Domäne |
| Global | Benutzer derselben Domäne | Benutzer und globale Gruppen derselben Domäne | Universale und domänenlokale Gruppen aller Domänen Globale Gruppen derselben Domäne |
Ressourcen in allen Domänen |
| Universal | - | Benutzer, globale und universale Gruppen aller Domänen | Universale und domänenlokale Gruppen aller Domänen | Ressourcen in allen Domänen |
Auch in Windows 2000 sollten die Ressourcenzugriffe nach dem AGLP-Prinzip (Account - Global - (Domain)Local - Permission) geregelt werden: Alle Benutzer, die Zugriff auf eine Ressource benötigen, werden in globalen Gruppen zusammengefasst. Für die Ressource wird eine domänenlokale Gruppe angelegt, dieser werden die globalen Gruppen domänenübergreifend hinzugefügt. Der domänenlokalen Gruppe werden die Zugriffsberechtigungen auf die Ressource erteilt. Zur weiteren Strukturierung können globale Gruppen verschachtelt werden (im einheitlichen Modus). Universale Gruppen sollten nur eingesetzt werden, wenn sie wirklich notwendig sind. Die Verschachtelungsebenen sollten grundsätzlich minimiert werden.
Verwaltung
Erstellung
- Der Gruppenname muss innerhalb des Containers, in dem die Gruppe erstellt wird, eindeutig sein.
- Der Gruppenname für Windows NT muss innerhalb der Domäne eindeutig sein.
Änderungen
- Änderungen von Gruppentyp und Gruppenbereich sind nur im einheitlichen Modus möglich.
- Verteilergruppen können jederzeit in Sicherheitsgruppen und umgekehrt geändert werden.
- Eine globale Gruppe kann in eine universale Gruppe geändert werden, wenn sie nicht Mitglied einer anderen globalen Gruppe ist.
- Eine domänenlokale Gruppe kann in eine universale Gruppe geändert werden, wenn sie keine andere domänenlokale Gruppe enthält.
- Universale Gruppen können aufgrund der restriktiveren Mitgliedschaft der anderen Gruppen nicht geändert werden.
Löschen
- Löscht die Gruppe mit allen Rechten und Berechtigungen, aber keine Mitglieder.
- Eine gelöschte Gruppe kann durch identische Neuerzeugung nicht wiederhergestellt werden, da die neue Gruppe eine neue SID erhält.
|
Inhaltlicher Stand: 2001-10-23
 |
galad Webdesign 2001 - Alle Rechte vorbehalten Von diesem Dokument dürfen im Rahmen von Schulungen Kopien für die Teilnehmer angefertigt werden. Dieser Hinweis muß darauf enthalten sein. Jede anderweitige kommerzielle Verwertung ist untersagt. |