Gruppenarten und Arbeiten mit Gruppen

Der Begriff "`Gruppe"' wird im Kontext von Active Directory in zweierlei Hinsicht genutzt, es gibt Sicherheits- und Verteilungsgruppen. Die Zweitgenannten sind einfach und schnell erklärt. Sie dienen ausschließlich der Verteilung von Nachrichten auf mehrere Nutzer, sind also nichts anderes als eine Windowsart von Mailinglisten.
Von den Sicherheitsgruppen hingegen gibt es insgesamt 4 Typen, wovon allerdings jeweils nur eine Untermenge verfügbar ist. Welche Typen nicht nutzbar sind, ist von der Funktionsebene der Domäne und damit auch indirekt von der Funktionsebene der Gesamtstruktur abhängig. Unterschieden werden die 4 Typen lokale, domainlokale, globale und universelle Gruppe.
Die lokale Gruppe wird ausschließlich in der Domäne verwaltet und ist auch nur in dieser verfügbar. Das heißt, Mitglieder und zu verwaltende Ressourcen müssen in einer Domäne liegen. Dieser Gruppentyp wird mit der Aktivierung des globalen Katalogs in seiner vollen Funktionsbreite durch Heben der Funktionsebene auf mindestens "`Windows 2000 pur"' überdeckt, ist also danach nicht mehr verfügbar. An seine Stelle treten die domainlokalen Gruppen, welche zur Verwaltung der Ressourcen der eigenen Domain dienen, also ähnlich der lokalen Gruppe sind. Als Erweiterung kommt hinzu, dass Mitglieder aus anderen vertrauten Domänen kommen können, also Domänen, zu denen eine explizite Vertrauensstellung herrscht beziehungsweise, die in der gleichen Gesamtstruktur und damit in einer impliziten Vertrauensstellung liegen. Die Aktualisierung der Berechtigungen wird dabei vom Infrastrukturmaster der Domäne überwacht und vorgenommen (siehe auch 4.4).
Das Pendant in entgegengesetzter Richtung ist die globale Gruppe, welche nur Mitglieder aus der Domäne haben kann, in der sie deklariert wurde, aber eben dieser Gruppe dann wiederum Rechte auf Ressourcen anderer beliebiger Domänen einräumen kann. Grundsätzlich muss der zuweisende Nutzer berechtigt sein, Rechte auf die Zielressourcen zu vergeben, so dass nicht einfach ein Administrator einer fremden Domäne Rechte in einer anderen vergeben kann, in dem er eigene globale Gruppen bevorteilt. Globale Gruppen werden nur innerhalb ihrer Domäne gehalten und repliziert, gehen also nicht in den globalen Katalog ein und sind damit auch nur bei Verfügbarkeit ihrer Domäne erreichbar.
Die letzte Art der Gruppen ist die universelle. Dieser Gruppentypus wird im globalen Katalog verwaltet, ist daher auch erst ab der Funktionsebene "`Windows 2000 pur"' nutzbar. Daher ist der Aufwand bei diesen Gruppen auch relativ gross, wenn an ihnen Änderungen auftreten. Diese müssen auf alle GC-Server der Gesamtstruktur repliziert werden. Daher wird beispielsweise auf [Gru05] empfohlen, solchen Gruppen nur globale Gruppen als Mitgliedern zuzuweisen, welche dann innerhalb einer Domäne die eigentlichen Mitglieder der universellen Gruppe aus dieser Domain halten. Dadurch verringert sich der Replikationsaufwand bei Auswirkungen, die nur einzelne Nutzer betreffen.

Zusätzlich gibt es auf jedem Rechner noch zusätzliche Gruppen, die nicht dokumentiert sind. Solche Gruppen werden aus den Mitgliedern anderer Gruppen oder aus Tätigkeiten des Nutzers implizit abgeleitet. [KT04] weißt in dem thematisch zugehörigen Kapitel 18 solche Gruppen in einer Tabelle aus, zu denen beispielsweise interaktiv angemeldete, per Netzwerk angemeldete oder anonym angemeldete Nutzer zählen. Diesen Gruppen kann man nicht explizit Nutzer zuweisen und auch der Versuch in solche Gruppen, wie "`Benutzer"' (also der Sammlung der dem Rechner bekannten Nutzer - üblicherweise eine Menge der lokalen Accounts und Domainnutzer) zusätzliche Gruppen zuzuweisen, hat zwar grundsätzlich funktioniert, aber keinerlei Auswirkungen gezeigt. So war es nicht möglich, dadurch Nutzern anderer Domänen Zugang zum System durch Anmeldung an dieser Domain zu verschaffen.
Eine recht übersichtliche Aufbereitung der Gruppentypen und ihrer Nutzbarkeit durch Verschachtelung findet sich neben oben genannter Quelle unter [Gru05] auch auf [Win00a].