Dynamische (virtuelle) Gruppen im AD anlegen möglich?

[Bawsurfer 10]

hi allerseits,

hat jemand informationen ob man im active directory (win server 2008) zB aus bestehenden gruppen, die mit zB Benutzerkennungen befüllt sind, temporäre anderslautende gruppen zB mittels eines queries zb täglich bilden kann?

bietet ad die technische möglichkeit dazu?

lg norbert

[NilsK 3.046]

Moin,

 

kannst du deine Frage bitte noch mal so stellen, dass man sie versteht?

 

AD kennt dynamische Gruppen, aber das geht nur für Verteiler, nicht für Sicherheitsgruppen. Also bitte noch mal die Anforderung genau beschreiben.

 

Und bitte die Shift-Taste nutzen. Deine Tastatur hat extra zwei davon.

 

Gruß, Nils

[P.Foeckeler 11]

Hallo,

 

du kannst so genannte "Query-based Distribution Groups" erzeugen, deren Mitgliedschaft stets aufgrund eines LDAP-Filters bestimmt wird. Der Nachteil:

 

- Diese Gruppen existieren nur in Umgebungen mit einer Exchange 2003 (und höher) Installation - bzw. mit installiertem E2K3-Schema.

 

- Diese Gruppen sind KEINE Security Principals, sie können also nicht für Vergabe von Berechtigungen verwendet werden, deswegen auch die Bezeichnung "Verteilergruppen" - denn Mailempfänger können diese Gruppen werden....

 

Links:

Für die Gruppen selbst:

Query-based Distribution Groups

 

Für die LDAP-Filter, die Du dazu brauchst:

SelfADSI : LDAP Filter

 

Gruß,

Philipp

[Bawsurfer 10]

Hallo Nils,

gedacht ist an an virtuelle oder dynamische Gruppen, die Berechtigungen vergeben können.

 

Ich habe eine Organisationsstruktur mit Abteilungen, in der Gruppe der jeweiligen Abteilung befindet sich die Liste der berechtigten Benutzer (=Benutzerkennungen).

Jetzt bräuchte ich für eine virtuelle Gruppe, also eine temporäre logisch zusammengestellte Gruppe - wie zB "alle 3 Einkaufsabteilungen" alle diese relevanten Kennungen aus den 3 betreffenden Abteilungen aus der gegebenen Struktur dieser einen virtuellen Gruppe zugeordnet, und das periodisch vollautomatisch zB täglich upgedated.

Es geht also wirklich um Berechtigungen.

 

Ich glaube der Hinweis von Philip - danke für die Antwort - geht in die Richtung daß das nicht geht.

 

liebe Grüße

Norbert

[NilsK 3.046]

Moin,

 

nur fürs Protokoll: Ich habe auch darauf hingewiesen, dass das nicht geht ...

 

Dynamische Gruppen für die Berechtigungsvergabe gibt es aus gutem Grund nicht. Dadurch gäbe es praktisch keine Kontrolle über die Zugriffsrechte in einem Unternehmen.

 

Was du brauchst, könntest du evtl. mit Scripting hinbekommen. Beachte aber, dass bei Fehlschlagen des Skripts u.U. unerwünschte Effekte entstehen.

 

Mag aber auch sein, dass du mit einer simplen Verschachtelung dein Ziel erreichst: Gruppe "Einkauf alle" enthält als Mitglieder die Gruppen "Einkauf 1", "Einkauf 2" und "Einkauf 3".

 

[faq-o-matic.net » Windows-Gruppen richtig nutzen]

http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Gruß, Nils

[NorbertFe 2.283]

 

Was du brauchst, könntest du evtl. mit Scripting hinbekommen. Beachte aber, dass bei Fehlschlagen des Skripts u.U. unerwünschte Effekte entstehen.

 

Ja nämlich eine nicht Nachvollziehbarkeit wer wann warum in welcher Gruppe mit welchen Rechten was geändert hat. ;)

 

Bye

Norbert

[Dukel 468]

[...]

Ich habe eine Organisationsstruktur mit Abteilungen, in der Gruppe der jeweiligen Abteilung befindet sich die Liste der berechtigten Benutzer (=Benutzerkennungen).

Jetzt bräuchte ich für eine virtuelle Gruppe, also eine temporäre logisch zusammengestellte Gruppe - wie zB "alle 3 Einkaufsabteilungen" alle diese relevanten Kennungen aus den 3 betreffenden Abteilungen aus der gegebenen Struktur dieser einen virtuellen Gruppe zugeordnet, und das periodisch vollautomatisch zB täglich upgedated.

[...]

 

Was spricht dagegen, wenn es neben den Gruppen Einkauf noch je eine weitere Gruppe gibt z.B. EinkaufX und diese dann in der "Virtuellen" Gruppe sind.

 

Die Berechtigen User musst ja irgendwie Kennzeichnen, das geht dann mit der Aufnahme in die extra Gruppe.

[Daim 12]

Huhuu,

 

Ja nämlich eine nicht Nachvollziehbarkeit wer wann warum in welcher Gruppe mit welchen Rechten was geändert hat. ;)

 

Off-Topic:

na das ist doch Mal ein guter Grund um "Auditing" zu nutzen. :p

 

Jaaa ist doch gut, bin schon wech. ;)

[NorbertFe 2.283]

Huhuu,

 

 

 

Off-Topic:

na das ist doch Mal ein guter Grund um "Auditing" zu nutzen. :p

 

Jaaa ist doch gut, bin schon wech. ;)

 

Auditing auf Gruppenmitgliedschaften oder wie? ;)

 

Bye

Norbert

[NilsK 3.046]

Moin,

 

Was spricht dagegen, wenn es neben den Gruppen Einkauf noch je eine weitere Gruppe gibt z.B. EinkaufX und diese dann in der "Virtuellen" Gruppe sind.

 

Die Berechtigen User musst ja irgendwie Kennzeichnen, das geht dann mit der Aufnahme in die extra Gruppe.

 

mir ist völlig unklar, von was für "virtuellen Gruppen" hier die Rede ist.

 

Entweder fehlem dem TO noch einige Grundlagenkenntnisse über das Gruppen- und Berechtigungssystem von Windows. Oder er ist gerade dabei, sich ein Konstrukt zu bauen, dessen Auswirkungen kaum kontrollierbar sind.

 

Aus seinen nach wie vor bruchstückhaften Beschreibungen der Anforderung wird jedenfalls nicht klar, was er überhaupt warum erreichen will. Oder anders gefragt: Was ist nun eigentlich das Ausgangsproblem?

 

Gruß, Nils

[pcexpert 10]

Hi,

 

bezogen auf die Active Directory dynamischen Sicherheitsgruppen habe ich im Netz was gefunden. Es scheint doch eine Möglichkeit zu geben:

[NorbertFe 2.283]

Mittels 3rd Party gibts mit Sicherheit noch mehr als diese Lösung. ;)

 

Bye

Norbert

[NilsK 3.046]

Moin,

 

mag ja alles sein - aber immer noch ist völlig unklar, welches Problem denn da eigentlich gelöst werden soll. Eine Lösung ohne definiertes Problem ist keine Lösung ...

 

Gruß, Nils