Zum Inhalt wechseln


Foto

Lokale, Globale, Universelle Gruppen


  • Bitte melde dich an um zu Antworten
5 Antworten in diesem Thema

#1 Lex1th

Lex1th

    Senior Member

  • 358 Beiträge

 

Geschrieben 04. August 2005 - 16:24

Sorry, aber ich versuche seit Tagen dieses Thema zu kapieren aber ich sehe da keine Sinn bzw. kann ich es nicht verstehen.

Kann mir bitte jamand mit eigenen Worten erklären wofür das gebraucht wird und wie man es sich merkt welche Gruppe wofür ist und zu welcher Gruppe ich sie konvertieren kann/muss.

Vielen Dank im vorraus.

#2 dmetzger

dmetzger

    Expert Member

  • 2.588 Beiträge

 

Geschrieben 04. August 2005 - 18:24

Da gab es schon einmal eine Diskussion zu diesem Thema:
http://www.mcseboard...p?threadid=6985

Im Grundsatz:
- Nutzer in globale Sicherheitsgruppen (GL)
- GLs können nur Nutzer aus der gleichen Domäne enthalten, aber auf Ressourcen in beliebigen Domänen der Gesamtstruktur zugreifen
- Ressourcen zu domänenlokalen Gruppen (DL) hinzufügen
- DLs haben nur Wirkung in ihrer Domäne (resp. lokal auf Domänencontrollern), können aber Gruppen und Nutzer aus anderen Domänen der Gesamtstruktur enthalten
- GLs als Mitglieder von DLs hinzufügen.

Die Wirkung: Die Nutzer einer Domäne können auf lokale Ressourcen in anderen Domänen zugreifen. Soll ein Nutzer das nicht mehr können, wird er einfach aus der entsprechenden GL entfernt.

Das streift das Thema natürlich nur am Rand, und von den universellen Gruppen in umfangreichen Gesamtstrukturen haben wir noch nicht einmal gesprochen. Hier ein Hinweis: Nie einzelne Nutzer zu Mitgliedern von UGs machen, sondern sie ausschliesslich in GLs zu UGs hinzufügen. Das macht die Verwaltung von Rechten und Berechtigungen einfacher und verringert den Replikationsverkehr.

Ja, das ist Stoff zum Büffeln;-)
MCT, MCM Windows Server 2008 R2 Directory

#3 Gadget

Gadget

    Moderator

  • 5.082 Beiträge

 

Geschrieben 04. August 2005 - 18:53

Hi Lex1th,

mit den Gruppen ist es eigentlich garnicht so schwer wie man am Anfang denkt... ich will dir kurz die Methode beschreiben die MS empfiehlt du solltest dir aber mehr Artikel dazu durchlesen um tiefer in die Materie einzusteigen.

1. Lokale Benutzer u. Gruppen

Zuerst mal eine wichtige Entscheidung es gibt Lokale Benutzer u. Gruppen u. Domänenbenutzer u. Gruppen. Eine Lokale Gruppe ist z.B. die Gruppe "Administratoren auf dem PC WXP-01 in der Domäne.

Die Gruppe Domänen-Admins des Active Directory, ist Mitglied der lokalen Gruppe "Administratoren" auf PC WXP-01 und somit haben alle Domänen-Admins auch Adminberechtigungen auf PC WXP-01.

Lokale Benutzer u. Gruppen werden in der SAM-Datenbank des jeweiligen PC´s abgespeichert.

2. Domänen Benutzer u. Gruppen

Domänengruppen werden in verschiedene Arten von Gruppen eingeteilt... Gruppen zur Ressourcenvergabe u. Gruppen zur Abbildung der Organisationsstruktur.

Beispiel:
Wir haben in einer Firma 4 verschiedene Abteilungen, um die Abteilung abbilden zu können verwenden wir "Globale Gruppen" :

GG_Abteilung_1
GG_Abteilung_2
GG_Abteilung_3
GG_Abteilung_4

Die Mitarbeiter werden nun entsprechend ihrer Position in die Gruppen einsortiert....
und Abteilung 1-3 soll Zugriff auf einen Freigegeben Ordner nennen wir ihn Transferlaufwerk und auf alle Farblaser der Domäne haben.

Dazu erstellen wir zwei Domänen-Lokale Gruppen (dies sind keine Lokale Gruppen im ursprünglichen Sinn sondern werden auch im AD gespeichert):

DLG_Transferlaufwerk
DLG_Farblaser

Nun fügen wir die Globalen Gruppen der Abteilung 1-3 den beiden Domänen-Lokalen als Mitglieder hinzu und setzen die Berechtigungen auf die Drucker und den Ordner. Somit haben alle Mitarbeiter der Abteilungen 1-3 die Berechtigung, die Sie benötigen. MS nennt dieses System:

AGDLP
Accounts Global Domain-Local Permissions

Was hier zu beachten ist, ist der sogenannte Scope (Anwendungsbereich) der Gruppen.
Welche Objekte kann ich verschachteln (nesting), mit welcher Gruppe wo Berechtigungen (Permissions) setzen und für welche Betriebsart des AD ist dies zulässig/möglich.

Alle Details hier zu besprechen würde leider ein bisserl ausarten und ich kann dir nur den Grundriss nennen und ein paar Links geben....

Hinweise:
Domänen-Lokale-Gruppen können nur verwendet werden um Ressourcen innerhalb der Domäne zu steuern in der Sie erstellt wurden

Mittels Universeller Gruppen können Forestweit Berechtigungen gesetzt werden....
also domänenübergreifen.... sie stehen erst ab dem 2k Native-Mode zur Verfügung

Falls ich jetzt alle Klarheiten beseitigt habe... hm sry... dann solltest du hier mal weiterlesen.

Microsoft Technet Group Scope:
http://www.microsoft...dc3c9f804e.mspx

Verwendung von Gruppentypen und -bereichen in Windows 2000
http://support.micro...om/?kbid=231273

Windows 2000 groups
http://www.svrops.co...win2kgroups.htm

LG Gadget

EDIT: Ach dmetzger war mal wieder schneller... ups ...

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#4 dmetzger

dmetzger

    Expert Member

  • 2.588 Beiträge

 

Geschrieben 04. August 2005 - 19:12

@Kohn
Aber Deine Ausführung ist möglicherweise leichter verständlich und die Links sind hilfreich.
MCT, MCM Windows Server 2008 R2 Directory

#5 Lex1th

Lex1th

    Senior Member

  • 358 Beiträge

 

Geschrieben 04. August 2005 - 19:23

Vielen Dank für die Ausführlich Beschreibung.

Teilweise habe ich es verstanden(erst recht mit dem Beispiel). Muss mich das aber wohl noch ein paar mal durchlesen :wink2:

#6 Gadget

Gadget

    Moderator

  • 5.082 Beiträge

 

Geschrieben 04. August 2005 - 19:30

Nochmals ne kurz Erklärung zum empfohlenen MS-Schema (AGDLP)

Benutzerkonten zu Globalen Gruppen hinzufügen die Globalen Gruppen zu Lokalen und diese Lokalen Gruppen zur Ressourcenberechtigungssteuerung verwenden.

Max Mustermann ist Mitglied in der Globalen Gruppe GG_Vertrieb, diese ist Mitglied der Lokalen Gruppe DLG_Farblaser und auf allen Farblaserdruckern wurden der Lokalen Gruppe "DLG_Farblaser" das drucken erlaubt.

Somit kann Max Mustermann drucken....

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog