Greifdas 10 Geschrieben 20. November 2012 Melden Teilen Geschrieben 20. November 2012 Hallo wir haben folgende Domänen Struktur bei uns. Wir haben einen Gemeinsamen Forest, und 3 untergeordnete Domänen die unter dem Forest angesiedelt sind. Diese sind nach Ländern benannt. (de,fr,en) Als Beispiel würde ich gerne die Gruppe nehmen, die Benutzer auf das BI System berechtigt. Dies ist eine globale Gruppe mit dem Namen AppBiStandard. Dort sind direkt alle Mitglieder drin, die Zugriff auf das System haben. Diese Gruppe ist dann irgendwo im BI eingetragen. Nun haben wir das Problem, dass wir aber in dieser globalen Gruppe keine Mitglieder aus anderen Ländern aufnehmen können. Ich hatte mir nun folgendes Überlegt: Ich ändere die globale Gruppe in eine Domain Lokale. Lege in jeder untergeordnete Domäne eine Gruppe an mit dem Namen (AppBiSandardDE für Deutschland, AppBiSandardEN für England usw.) Diese Gruppen nehme ich dann als Mitglieder in die AppBiStandard auf. So kann jedes Land selber den Zugriff auf das System Regeln. Was haltet ihr von diesem Konzept? Gibt es vielleicht andere Vorschläge? Wir haben hier bei uns noch keine große Erfahrung mit dem Multi Domain Gruppenkonzept. Zitieren Link zu diesem Kommentar
NilsK 2.789 Geschrieben 20. November 2012 Melden Teilen Geschrieben 20. November 2012 Moin, um Berechtigungen für eine Ressource zu vergeben, die sich innerhalb einer Domäne befindet, sind DL-Gruppen am besten geeignet. Für Ressourcen, die sich über mehrere Domänen verteilen, sind U-Gruppen am besten. G-Gruppen dienen dann nur der logisch-organisatorischen Gruppierung, also alle Franzosen, alle Engländer, der Vertrieb aus Merchweiler usw. faq-o-matic.net » Windows-Gruppen richtig nutzen Gruß, Nils Zitieren Link zu diesem Kommentar
Greifdas 10 Geschrieben 21. November 2012 Autor Melden Teilen Geschrieben 21. November 2012 heißt das. Daß ich nach wie vor die Berechtigung an die DL Gruppe gebe. Danach lege ich eine Universell an, die alle Mitglieder enthält und diese dann als Mitglied in der DL aufnehme? Zitieren Link zu diesem Kommentar
NilsK 2.789 Geschrieben 21. November 2012 Melden Teilen Geschrieben 21. November 2012 Moin, dem Konzept nach vergibst du Berechtigungen immer nur an gezielt dafür angelegte DL-Gruppen. In einem Multi-Domain-Forest legst du dann in jeder Domäne G-Gruppen an, in denen du die User nach organisatorischen Kriterien zusammenfasst. Danach hast du zwei Möglichkeiten: du nimmst die G-Gruppen aus den verschiedenen Domänen direkt in die DL-Gruppe auf, die die Berechtigungen hat du nimmst die G-Gruppen in eine U-Gruppe auf, die nur dazu dient, alle G-Gruppen zusammenzufassen. Diese U-Gruppe nimmst du dann in die DL-Gruppe auf Vorteil von 1. ist, dass du eine Ebene einsparst - vor allem dann, wenn dieselben G-Gruppen nur einmal berechtigt werden sollen. Sollen hingegen die G-Gruppen auf mehrere Ressourcen Berechtigungen bekommen, ist 2. attraktiver, weil du dann die G-Gruppen nur einmal zu einer U-Gruppe zusammenfasst und diese U-Gruppe dann in die verschiedenen DL-Gruppen einfügst, die die Berechtigungen erhalten. Du kannst es natürlich auch ganz anders machen, aber gerade in einer größeren Umgebung stößt du damit schnell an Grenzen. Die zusätzliche Planung für ein strukturiertes Modell lohnt sich auf längere Sicht meist durchaus. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.