Anton1997 0 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Servus, ich befinde mich momentan im 3ten Ausbildungsjahres als Fachinformatiker für Anwendungsentwicklung. Ich habe mich gestern mit dem Unterrichtsstoff des letzten Jahres ein wenig befasst und ich habe eine Verständnisfrage zur AGDLP-Strategie.https://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png Ich verstehe das Prinzip eines AGDLP, jedoch stelle ich mir die Frage, wieso man die Domain Local Groups braucht? Könnte man nicht einfach die Global Groups direkt an die CRM-Datenbank/Drucker etc anbinden? Was hat es für einen Vorteil wenn man dazwischen noch eine Domain Local Group hat.. Gruß, Anton Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 (bearbeitet) Man bekommt eine saubere Trennung zwischen Berechtigungen und Personen. Im Prinzip ist das Ergebnis eine Rollenbasierte Berechtigung. Die DL-Gruppen sind die Berechtigung und die globalen die Rollen. Es genügt dann ein Blick, wer welche Rolle hat und welche Berechtigung sich dahinter verbergen. Setzt du direkt die Berechtigungen für globalen Gruppen, dann musst du immer schauen was die dürfen. Beispiel: globale Gruppe "PersonalVerw" ist in den DL-Gruppen "Drucker 0815", "Laufwerk P" und "Scanner 4711". Du weißt sofort was die dürfen wenn du die globale Gruppe anschaust. Läßt du die DL weg musst du auf allen Druckern, Scannern etc nachsehen was die Leute dort dürfen. bearbeitet 10. Oktober 2019 von magheinz 1 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Moin, korrekt. Die Unterscheidung zwischen Rolle und Berechtigungsgruppe lässt sich am besten umsetzen, wenn man zwei verschiedene Gruppentypen hat - eben die Globalen und die Domänenlokalen Gruppen. Dadurch wird die grundlegende logische Trennung noch deutlicher, als wenn man nur eine Namenskonvention nutzen würde (die man natürlich auch braucht). Ein weiterer Grund für die verschiedenen Gruppentypen: Domänenlokale Gruppen sollen explizit nur die Berechtigungen auf Ressourcen in der eigenen Domäne umfassen (also in dem Sicherheitsbereich, den man verwaltet). Daher können sie nur bei Ressourcen der eigenen Domäne eingesetzt werden. Globale Gruppen hingegen sollen absichtlich in anderen Domänen sichtbar sein, falls es mehrere gibt, weil sie organisatorische Zwecke erfüllen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 28. Oktober 2020 Melden Teilen Geschrieben 28. Oktober 2020 (bearbeitet) Hallo, ich hab mal ne sau blöde Frage ... Nennt ihr die Gruppen denn dann auch wirklich DL_blablubb oder G_teamXY ?! Ich bin jetzt seit 20 Jahren im Geschäft und habs noch nie so gemacht -.- Ich habe ein bißchen "Angst" vor der Menge an Gruppen. Wir haben jetzt schon 3900, wo soll das hinführen? G_Team-A G_Team-B G_Team-C G_Team-D ... DL_FS1-Abt1-R DL_FS1-Abt1-RW DL_FS1-Ordner-Team-A-R DL_FS1-Ordner-Team-A-RW DL_FS1-Ordner-Team-B-R DL_FS1-Ordner-Team-B-RW ... Wir haben in ABTeilung1 z.B. 4 Bereich mit je 2-5 Teams, 3 Stabsstellen, komplizierte Ablage und Berechtigungswünsche und das spiegelt dann nur 1% der gesamten User dar?! Danke und Grüße ; ) Mag UPDATE: Mir fällt gerade auf Abt1-R und -RW könnte ich weglassen und dafür immer alle Teams einzeln auf Ordner für alle berechtigen o_O bearbeitet 28. Oktober 2020 von Mag Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 28. Oktober 2020 Melden Teilen Geschrieben 28. Oktober 2020 Just now, Mag said: Ich bin jetzt seit 20 Jahren im Geschäft und habs noch nie so gemacht -.- Ich habe ein bißchen "Angst" vor der Menge an Gruppen. Wir haben jetzt schon 3900, wo soll das hinführen? Zu (mehr) Automatisierung. 1 Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.781 Geschrieben 28. Oktober 2020 Beste Lösung Melden Teilen Geschrieben 28. Oktober 2020 (bearbeitet) Moin, deine Frage ist nicht saublöd, aber im Detail nicht ganz verständlich. Was haben deine Befürchtungen mit der Namenskonvention zu tun? Womit du Recht hast: Ja, das Konzept kann zu sehr vielen Gruppen führen. Im Umkehrschluss aber - wenn du so komplexe Strukturen hast, wirst du immer sehr viele Berechtigungseinträge haben. Wenn du dazu die Zahl der Gruppen klein hältst, hast du sehr viele sehr komplexe Berechtigungseinträge. Das beschriebene Konzept versucht hingegen, die tatsächlichen Berechtigungseinträge möglichst einfach zu halten und dafür die Zuweisung über die (vielen) Gruppen deutlich zu machen. Eine erwünschte Folge ist die Erkenntnis, die du geäußert hast: Komplexe Berechtigungsstrukturen sind das eigentliche Problem, weil die dazu führen, dass jede Form der Abbildung schnell aufwändig und u.U. auch unübersichtlich wird. Das ist der Grund, warum große Organisationen dort schnell dazu übergehen, die möglichen Berechtigungen einzuschränken und nicht alles, was technisch möglich ist, auch umzusetzen. Spätestens da ist man dann auf der organisatorischen Ebene. Und das führt zu Erkenntnis 2, vor der sich die meisten IT-Abteilungen aber noch viel mehr sträuben: Die IT hängt mit der Organisation des Unternehmens zusammen. Um zu einer leistungsfähigen Abbildung zu kommen und den IT-Service passend zu organisieren, muss die IT mit den Fachabteilungen und der Orga reden. Gruß, Nils PS. "hab ich noch nie so gemacht" ist irgendwie kein Argument ... bearbeitet 28. Oktober 2020 von NilsK 2 Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 28. Oktober 2020 Melden Teilen Geschrieben 28. Oktober 2020 (bearbeitet) Nein, stimmt es war eher ein Schuldeingeständnis Du hast recht, es waren 2 verschiedene Dinge. Ich bin abgedriftet. Ich hatte ursprünglich nur die Frage der Namenskonventionen. Die hat noch niemand beantwortet ;) Macht ihr eine solche Trennung per Namenskonvention? Wo kann ich denn kaufen, dass unsere Organisation auch so vor geht ;) Danke für die fixen Antworten. Ich mach nun mal Feierabend. bearbeitet 28. Oktober 2020 von Mag Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 28. Oktober 2020 Melden Teilen Geschrieben 28. Oktober 2020 vor 8 Minuten schrieb Mag: Macht ihr eine solche Trennung per Namenskonvention? Jepp, wird bei uns so gemacht. Ist übersichtlich und sehr sprechend. Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 28. Oktober 2020 Melden Teilen Geschrieben 28. Oktober 2020 Dem Identity Management (das User in Gruppen steckt) und den effektiven Rechten sind die Gruppennamen völlig egal, Du kannst auch GUIDs als Name verwenden. Aber dann viel Spaß beim Nachvollziehen für den technisch sachkundigen Dritten Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 29. Oktober 2020 Melden Teilen Geschrieben 29. Oktober 2020 Dankeschön! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.