Next: Strukturierung mittels Organisationseinheiten (OU)
Up: Lösungsideen und Alternativen
Previous: Benutzerverwaltung
  Contents
Gruppenarten und Arbeiten mit Gruppen
Der Begriff "`Gruppe"' wird im Kontext von Active Directory in
zweierlei Hinsicht genutzt, es gibt Sicherheits- und
Verteilungsgruppen. Die Zweitgenannten sind einfach und schnell
erklärt. Sie dienen ausschließlich der Verteilung von Nachrichten auf
mehrere Nutzer, sind also nichts anderes als eine Windowsart von
Mailinglisten.
Von den Sicherheitsgruppen hingegen gibt es insgesamt 4 Typen, wovon
allerdings jeweils nur eine Untermenge verfügbar ist. Welche Typen
nicht nutzbar sind, ist von der Funktionsebene der Domäne und damit
auch indirekt von der Funktionsebene der Gesamtstruktur abhängig.
Unterschieden werden die 4 Typen lokale, domainlokale, globale und
universelle Gruppe.
Die lokale Gruppe wird ausschließlich in der Domäne verwaltet und ist
auch nur in dieser verfügbar. Das heißt, Mitglieder und zu verwaltende
Ressourcen müssen in einer Domäne liegen. Dieser Gruppentyp wird mit
der Aktivierung des globalen Katalogs in seiner vollen Funktionsbreite
durch Heben der Funktionsebene auf mindestens "`Windows 2000 pur"'
überdeckt, ist also danach nicht mehr verfügbar. An seine Stelle
treten die domainlokalen Gruppen, welche zur Verwaltung der Ressourcen
der eigenen Domain dienen, also ähnlich der lokalen Gruppe sind. Als
Erweiterung kommt hinzu, dass Mitglieder aus anderen vertrauten
Domänen kommen können, also Domänen, zu denen eine explizite
Vertrauensstellung herrscht beziehungsweise, die in der gleichen
Gesamtstruktur und damit in einer impliziten Vertrauensstellung
liegen. Die Aktualisierung der Berechtigungen wird dabei vom
Infrastrukturmaster der Domäne überwacht und vorgenommen (siehe auch
4.4).
Das Pendant in entgegengesetzter Richtung ist die globale Gruppe,
welche nur Mitglieder aus der Domäne haben kann, in der sie deklariert
wurde, aber eben dieser Gruppe dann wiederum Rechte auf Ressourcen
anderer beliebiger Domänen einräumen kann. Grundsätzlich muss der
zuweisende Nutzer berechtigt sein, Rechte auf die Zielressourcen zu
vergeben, so dass nicht einfach ein Administrator einer fremden Domäne
Rechte in einer anderen vergeben kann, in dem er eigene globale
Gruppen bevorteilt. Globale Gruppen werden nur innerhalb ihrer Domäne
gehalten und repliziert, gehen also nicht in den globalen Katalog ein
und sind damit auch nur bei Verfügbarkeit ihrer Domäne erreichbar.
Die letzte Art der Gruppen ist die universelle. Dieser Gruppentypus
wird im globalen Katalog verwaltet, ist daher auch erst ab der
Funktionsebene "`Windows 2000 pur"' nutzbar. Daher ist der Aufwand bei
diesen Gruppen auch relativ gross, wenn an ihnen Änderungen auftreten.
Diese müssen auf alle GC-Server der Gesamtstruktur repliziert werden.
Daher wird beispielsweise auf [Gru05] empfohlen, solchen
Gruppen nur globale Gruppen als Mitgliedern zuzuweisen, welche dann
innerhalb einer Domäne die eigentlichen Mitglieder der universellen
Gruppe aus dieser Domain halten. Dadurch verringert sich der
Replikationsaufwand bei Auswirkungen, die nur einzelne Nutzer
betreffen.
Zusätzlich gibt es auf jedem Rechner noch zusätzliche Gruppen, die
nicht dokumentiert sind. Solche Gruppen werden aus den Mitgliedern
anderer Gruppen oder aus Tätigkeiten des Nutzers implizit abgeleitet.
[KT04] weißt in dem thematisch zugehörigen Kapitel 18 solche
Gruppen in einer Tabelle aus, zu denen beispielsweise interaktiv
angemeldete, per Netzwerk angemeldete oder anonym angemeldete Nutzer
zählen. Diesen Gruppen kann man nicht explizit Nutzer zuweisen und
auch der Versuch in solche Gruppen, wie "`Benutzer"' (also der
Sammlung der dem Rechner bekannten Nutzer - üblicherweise eine Menge
der lokalen Accounts und Domainnutzer) zusätzliche Gruppen zuzuweisen,
hat zwar grundsätzlich funktioniert, aber keinerlei Auswirkungen
gezeigt. So war es nicht möglich, dadurch Nutzern anderer Domänen
Zugang zum System durch Anmeldung an dieser Domain zu verschaffen.
Eine recht übersichtliche Aufbereitung der Gruppentypen und ihrer
Nutzbarkeit durch Verschachtelung findet sich neben oben genannter
Quelle unter [Gru05] auch auf [Win00a].
Next: Strukturierung mittels Organisationseinheiten (OU)
Up: Lösungsideen und Alternativen
Previous: Benutzerverwaltung
  Contents
Marko Damaschke
2006-03-25