Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Lex1th

Lokale, Globale, Universelle Gruppen

Empfohlene Beiträge

Sorry, aber ich versuche seit Tagen dieses Thema zu kapieren aber ich sehe da keine Sinn bzw. kann ich es nicht verstehen.

 

Kann mir bitte jamand mit eigenen Worten erklären wofür das gebraucht wird und wie man es sich merkt welche Gruppe wofür ist und zu welcher Gruppe ich sie konvertieren kann/muss.

 

Vielen Dank im vorraus.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da gab es schon einmal eine Diskussion zu diesem Thema:

http://www.mcseboard.de/showthread.php?threadid=6985

 

Im Grundsatz:

- Nutzer in globale Sicherheitsgruppen (GL)

- GLs können nur Nutzer aus der gleichen Domäne enthalten, aber auf Ressourcen in beliebigen Domänen der Gesamtstruktur zugreifen

- Ressourcen zu domänenlokalen Gruppen (DL) hinzufügen

- DLs haben nur Wirkung in ihrer Domäne (resp. lokal auf Domänencontrollern), können aber Gruppen und Nutzer aus anderen Domänen der Gesamtstruktur enthalten

- GLs als Mitglieder von DLs hinzufügen.

 

Die Wirkung: Die Nutzer einer Domäne können auf lokale Ressourcen in anderen Domänen zugreifen. Soll ein Nutzer das nicht mehr können, wird er einfach aus der entsprechenden GL entfernt.

 

Das streift das Thema natürlich nur am Rand, und von den universellen Gruppen in umfangreichen Gesamtstrukturen haben wir noch nicht einmal gesprochen. Hier ein Hinweis: Nie einzelne Nutzer zu Mitgliedern von UGs machen, sondern sie ausschliesslich in GLs zu UGs hinzufügen. Das macht die Verwaltung von Rechten und Berechtigungen einfacher und verringert den Replikationsverkehr.

 

Ja, das ist Stoff zum Büffeln;-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Lex1th,

 

mit den Gruppen ist es eigentlich garnicht so schwer wie man am Anfang denkt... ich will dir kurz die Methode beschreiben die MS empfiehlt du solltest dir aber mehr Artikel dazu durchlesen um tiefer in die Materie einzusteigen.

 

1. Lokale Benutzer u. Gruppen

 

Zuerst mal eine wichtige Entscheidung es gibt Lokale Benutzer u. Gruppen u. Domänenbenutzer u. Gruppen. Eine Lokale Gruppe ist z.B. die Gruppe "Administratoren auf dem PC WXP-01 in der Domäne.

 

Die Gruppe Domänen-Admins des Active Directory, ist Mitglied der lokalen Gruppe "Administratoren" auf PC WXP-01 und somit haben alle Domänen-Admins auch Adminberechtigungen auf PC WXP-01.

 

Lokale Benutzer u. Gruppen werden in der SAM-Datenbank des jeweiligen PC´s abgespeichert.

 

2. Domänen Benutzer u. Gruppen

 

Domänengruppen werden in verschiedene Arten von Gruppen eingeteilt... Gruppen zur Ressourcenvergabe u. Gruppen zur Abbildung der Organisationsstruktur.

 

Beispiel:

Wir haben in einer Firma 4 verschiedene Abteilungen, um die Abteilung abbilden zu können verwenden wir "Globale Gruppen" :

 

GG_Abteilung_1

GG_Abteilung_2

GG_Abteilung_3

GG_Abteilung_4

 

Die Mitarbeiter werden nun entsprechend ihrer Position in die Gruppen einsortiert....

und Abteilung 1-3 soll Zugriff auf einen Freigegeben Ordner nennen wir ihn Transferlaufwerk und auf alle Farblaser der Domäne haben.

 

Dazu erstellen wir zwei Domänen-Lokale Gruppen (dies sind keine Lokale Gruppen im ursprünglichen Sinn sondern werden auch im AD gespeichert):

 

DLG_Transferlaufwerk

DLG_Farblaser

 

Nun fügen wir die Globalen Gruppen der Abteilung 1-3 den beiden Domänen-Lokalen als Mitglieder hinzu und setzen die Berechtigungen auf die Drucker und den Ordner. Somit haben alle Mitarbeiter der Abteilungen 1-3 die Berechtigung, die Sie benötigen. MS nennt dieses System:

 

AGDLP

Accounts Global Domain-Local Permissions

 

Was hier zu beachten ist, ist der sogenannte Scope (Anwendungsbereich) der Gruppen.

Welche Objekte kann ich verschachteln (nesting), mit welcher Gruppe wo Berechtigungen (Permissions) setzen und für welche Betriebsart des AD ist dies zulässig/möglich.

 

Alle Details hier zu besprechen würde leider ein bisserl ausarten und ich kann dir nur den Grundriss nennen und ein paar Links geben....

 

Hinweise:

Domänen-Lokale-Gruppen können nur verwendet werden um Ressourcen innerhalb der Domäne zu steuern in der Sie erstellt wurden

 

Mittels Universeller Gruppen können Forestweit Berechtigungen gesetzt werden....

also domänenübergreifen.... sie stehen erst ab dem 2k Native-Mode zur Verfügung

 

Falls ich jetzt alle Klarheiten beseitigt habe... hm sry... dann solltest du hier mal weiterlesen.

 

Microsoft Technet Group Scope:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/79d93e46-ecab-4165-8001-7adc3c9f804e.mspx

 

Verwendung von Gruppentypen und -bereichen in Windows 2000

http://support.microsoft.com/?kbid=231273

 

Windows 2000 groups

http://www.svrops.com/svrops/documents/win2kgroups.htm

 

LG Gadget

 

EDIT: Ach dmetzger war mal wieder schneller... ups ...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielen Dank für die Ausführlich Beschreibung.

 

Teilweise habe ich es verstanden(erst recht mit dem Beispiel). Muss mich das aber wohl noch ein paar mal durchlesen :wink2:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nochmals ne kurz Erklärung zum empfohlenen MS-Schema (AGDLP)

 

Benutzerkonten zu Globalen Gruppen hinzufügen die Globalen Gruppen zu Lokalen und diese Lokalen Gruppen zur Ressourcenberechtigungssteuerung verwenden.

 

Max Mustermann ist Mitglied in der Globalen Gruppe GG_Vertrieb, diese ist Mitglied der Lokalen Gruppe DLG_Farblaser und auf allen Farblaserdruckern wurden der Lokalen Gruppe "DLG_Farblaser" das drucken erlaubt.

 

Somit kann Max Mustermann drucken....

 

LG Gadget

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×