Hi,
Du mußt versuchen in Strukturen zu Denken, also ein Gebilde aus einer oder mehreren Domänen. Hier braucht man eine einfache aber effektive Methode des Zugriffs von Usern.
Am einfachsten mit Gruppen, damit das aber überschaubar ist, sollte man mit verschiedenen Gruppentypen arbeiten.
Die Devise dabei ist immer "Global > Lokal > Zugriff".
So, jetzt laß mal die universelle Gruppe weg, die gibt es eh nur im einheitlichen Modus, die Darf überalll hin und alle dürfen mitmachen. Wird kaum verwendet, bzw. ist mit Vorsicht zu genießen.
Ansonsten gilt ja folgendes:
- global = Ressourcenzugriff ist Domänenübergreifend möglich, aber Mitgliedschaft nur für User der eigenen Domäne
- lokal (domänen lokal) = offene Mitglioedschaft, d.h. auch von anderen Domänen, also auch globalen Gruppen, Zugriff ist dagegen nur auf Ressourcen in der eigenen Domäne möglich.
Jetzt zum Prinzip, User in globale Gruppen aufteilen, welche keine großen Rechte haben, diese globalen Gruppen, können dann Mitglied in lokalen Gruppen werden, diesen lokalen Gruppen gibt man dann Berechtigungen für die einzelnen Ressourcen.
Somit hat man wieder global > lokal > Zugriff.
Flubber