next up previous contents
Next: Firewall-Aspekte Up: Lösungsideen und Alternativen Previous: Gruppenarten und Arbeiten mit   Contents

Strukturierung mittels Organisationseinheiten (OU)

Eine Möglichkeit, die sich neben der hauptsächlich im Auge gehaltenen Strukturierung mittels Domänen und Subdomänen anbietet, ist die Einrichtung von entsprechenden Organisationseinheiten. Neben der Möglichkeit dort Nutzer entsprechend der Zugehörigkeit besser zu strukturieren oder Ressourcen entsprechend der Unternehmensstruktur zu verwalten, läßt sich eine delegierte Administration von Rechnerressourcen vorstellen. Die Administratoren der zentralen Domäne verschieben die Domainaccounts der betroffenen Computer in die Organisationseinheit, weisen einem Domainbenutzer die entsprechenden Rechte zur Erstellung von Gruppenrichtlinien in dieser Organisationseinheit zu. In der Folge ist der Domänennutzer befähigt, Anpassungen an der Administration der Rechner mit Hilfe von Gruppenrichtlinien durchzuführen.

Dadurch kann beispielsweise ein kompetenter Mitarbeiter Anpassungen vornehmen, die sich eine Arbeitsgruppe zusätzlich zu den Standardeinstellungen wünscht, gesonderte Software verteilen. Dazu ist seinerseits nicht einmal ein direkter Zugriff auf einen Domänencontroller notwendig. Vielmehr kann alles mit der Gruppenrichtlinien-Management-Console bearbeitet werden. Diese steht unter [GPM05] in der aktuellen Version mit Service Pack 1 frei zum Download bereit, wird auch nicht mit der Windows Server 2003 CD ausgeliefert, da ihre Fertigstellung erst kurz nach der Veröffentlichung des Betriebssystems erfolgte. Diese Software ist unter Windows Server 2003 und Windows XP einsetzbar, weshalb ein Domänennutzer diese auch von seinem Arbeitsplatz aus nutzen kann, um Anpassungen vorzunehmen. Zusätzlich geht die administrative Hoheit des Universitätsrechenzentrums nicht verloren, da ein solcher Nutzer nur neue GPOs (Gruppenrichtlinieobjekte) erzeugen kann, die zusätzlich zu den bereits Vorhandenen angewandt werden. Über die Reihenfolge der Anwendung wurde bereits in 4.7 gesprochen. Diese wirkt sich natürlich auch hier aus und es sei erwähnt, dass beispielsweise das vererbte Default-GPO der Domäne in der OU zuerst angewandt wird, also das neu hinzugefügte spezialisierende Wirkung hat.

Um dieses Werkzeug zu nutzen, muss der Nutzer das MSI-Paket nur auf seinem Arbeitsplatz installieren, was dank der Bereitstellungsform auch durch die zentrale Administration stattfinden kann. Danach findet sich unter $\%SYSTEMROOT\%\backslash system32$ eine MMC-Verknüpfung namens $gpmc.msc$, über die das Tool geöffnet werden kann. Um das Werkzeug dann mit dem mittels externem Kerberos authentifizierten Account nutzen zu können, muss noch die Vertrauensüberprüfung in den Optionen des MMC-SnapIns deaktiviert werden. Danach ist eine Verbindung mit der Domäne möglich und der Einrichtung eines neuen GPOs in der zugewiesenen OU steht nichts mehr im Wege.
Dabei stellte sich im Rahmen der Tests heraus, dass die Nutzung von Einstellungsmöglichkeiten absolut unproblematisch von Statten ging, während die Softwareinstallation Schwierigkeiten bereitete. Ursache der Schwierigkeiten ist die adäquate Bereitstellung der Installationsquelle. So muss ein Computer, der durch ein GPO eine zu installierende Software zugewiesen bekommt, auf die Netzwerkfreigabe zugreifen können, auf welcher die Paketdatei abgelegt ist. Einem im Active Directory angelegten Freigegebenen Ordner können in "`Active Directory Benutzer und Computer"' unter "`Sicherheit"' Berechtigungen zugeordnet werden, die sich allerdings nur auf die Freigabeberechtigungen auswirken. Hat der Rechner auf den eigentlichen Ordner keinen Zugriff, wird ihm dieser auch trotz der für die Freigabe gesetzten Rechte verwehrt. Zur Rechteverwaltung des Filesystems kann man den Ordner aber im Explorer öffnen lassen und dort unter Eigenschaften die Berechtigungen des Filesystems anpassen.

Trotz dieser Umstände, die sich durch geschickte Rechteverwaltung umgehen lassen, kann somit für einen Teil der Anwendungsfälle eine sinnvolle Lösung bereitgestellt werden, mit der den Wünschen mancher Struktureinheit sicherlich Genüge getan werden kann.


next up previous contents
Next: Firewall-Aspekte Up: Lösungsideen und Alternativen Previous: Gruppenarten und Arbeiten mit   Contents
Marko Damaschke 2006-03-25