Jump to content
Anton1997

AGDLP - Strategie Frage

Recommended Posts

Servus,

ich befinde mich momentan im 3ten Ausbildungsjahres als Fachinformatiker für Anwendungsentwicklung.
Ich habe mich gestern mit dem Unterrichtsstoff des letzten Jahres ein wenig befasst und ich habe eine
Verständnisfrage zur AGDLP-Strategie.
https://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png
Ich verstehe das Prinzip eines AGDLP, jedoch stelle ich mir die Frage, wieso man die Domain Local Groups braucht?
Könnte man nicht einfach die Global Groups direkt an die CRM-Datenbank/Drucker etc anbinden?
Was hat es für einen Vorteil wenn man dazwischen noch eine Domain Local Group hat..

Gruß,

Anton

Share this post


Link to post
Share on other sites

Man bekommt eine saubere Trennung zwischen Berechtigungen und Personen. 

Im Prinzip ist das Ergebnis eine Rollenbasierte Berechtigung. Die DL-Gruppen sind die Berechtigung und die globalen die Rollen. 

Es genügt dann ein Blick, wer welche Rolle hat und welche Berechtigung sich dahinter verbergen. Setzt du direkt die Berechtigungen für globalen Gruppen, dann musst du immer schauen was die dürfen. 

Beispiel:

globale Gruppe "PersonalVerw" ist in den DL-Gruppen "Drucker 0815", "Laufwerk P" und "Scanner 4711".

Du weißt sofort was die dürfen wenn du die globale Gruppe anschaust. 

Läßt du die DL weg musst du auf allen Druckern, Scannern etc nachsehen was die Leute dort dürfen. 

Edited by magheinz
  • Thanks 1

Share this post


Link to post
Share on other sites

Moin,

 

korrekt. Die Unterscheidung zwischen Rolle und Berechtigungsgruppe lässt sich am besten umsetzen, wenn man zwei verschiedene Gruppentypen hat - eben die Globalen und die Domänenlokalen Gruppen. Dadurch wird die grundlegende logische Trennung noch deutlicher, als wenn man nur eine Namenskonvention nutzen würde (die man natürlich auch braucht).

 

Ein weiterer Grund für die verschiedenen Gruppentypen: Domänenlokale Gruppen sollen explizit nur die Berechtigungen auf Ressourcen in der eigenen Domäne umfassen (also in dem Sicherheitsbereich, den man verwaltet). Daher können sie nur bei Ressourcen der eigenen Domäne eingesetzt werden. Globale Gruppen hingegen sollen absichtlich in anderen Domänen sichtbar sein, falls es mehrere gibt, weil sie organisatorische Zwecke erfüllen.

 

Gruß, Nils

 

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...