Jump to content

globale/lokale Gruppen....


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

...so...

 

also, ein Infoblatt über globale/lokale Gruppen im Win2k muss ich erstellen....

 

Überall heisst es: mit lokalen Gruppen werden Berechtigungen erteilt, mit globalen werden diese dann den Usern zugewiesen....

 

Leider finde ich NIRGENDS einen Satz in Form von: JAWOHL, IM WIN2000 können auch globalen Gruppen direkt Berechtigungen vergeben werden, aber niemand redet davon, bzw. keiner hat es gemerkt....

 

 

Ich fand bisher nur Referate/Aufsätze über NT-Berechtigungen, die ja auch berechtigt sagen: Berechtigungen mit lokalen Gruppen verteilen...... und dann fand ich aber auch etliche Aufsätze/Referate über Win2k, keiner von den Schreibern dieser Blätter schrieb was darüber, dass man mit globalen Gruppen neu in Win2k viel mehr anstellen kann....

 

 

Ich denke, ihr wüsstet ev. ein doc-file oder was aufm Internet....

 

merci&gruss

pablo

Link to comment

Hi!

 

Sicher kannst du bei den Dateiberechtigungen auch globalen Gruppen Berechtigungen zuweisen. Die Frage ist, ob man das sollte.

 

Das "Globale Gruppen und lokalen Gruppen und diesen dann Berechtigungen zuweisen"-Prinzip hat schon seine Daseinsberechtigung.

 

Gruss

 

Nic

Link to comment

@nic:

 

wenn du mir sagst, wo diese daseinsberechtigung beschrieben steht....

 

überall heissts: lokalen gibt man die rechte, globale verweisen auf die lokalen....

 

nirgends stehts anders, obwohl bei win2k dies möglich wäre.-.....

 

WARUM STEHTS NIRGENDS....?

 

eine erklärung (oder der link drauf) dieser daseinsberechtigung würde ich suchen

 

merci&gruss

pablo

Link to comment

Die Hauptunterschiede sind:

 

- Lokale Gruppen werden nicht in den Globalen Katalog übergennommen

- Domänen-Gruppen werden in den Globalen Katalog übernommen

- Universelle Gruppen und deren Mitglieder werden in den Globalen Katalog übernommen

 

Bemerken wirst Du die Unterschiede nur in größeren und verteilten Umgebungen mit vielen Anwendern und Gruppen. Dann steigt bei ungünstiger Definition der Gruppen der Replikationsaufwand und damit die Belastung der GC-Server und WAN-Verbindungen -> Infrastruktur wird teurer und/oder langsamer.

Da Ressourcen ihren Standort nur in Ausnahmefällen ändern und auch Zugriffe auf Ressourcen über Standort-/Domänengrenzen hinweg eher selten erfolgen macht deren Zuordnung zu lokalen Gruppen durchaus Sinn.

Anwender sind in der Regel etwas beweglicher und je nach Größe des Unternehmens kann es auch mal vorkommen, dass sie auf Ressourcen in anderen Domänen zugreifen müssen. Durch die Mitgliedschaft in Globalen Gruppen kann dies leicht realisiert werden und der Netzwerkverkehr hält sich in Grenzen - Berechtigungen werden über den nächsten GC geprüft

Bei universellen Gruppen ist das alles auch möglich, wird aber mit erhöhter Netzwerklast durch Replikation der GCS untereinander erkauft.

 

Wie gesagt, in kleinen Umgebungen mit nur einer Domäne an einem Standort wirst Du die Vorteile der empfohlenen Vorgehensweise in der Regel nicht feststellen. Bei Beachtung der Empfehlungen kannst Du aber bei ungeplanten Veränderungen der Struktur (Standorte,Sub-Domäne) flexibler reagieren.

 

Nachlesen kannst Du das in einem der dicken grünen Schmöker von Microsoft, leider weiß ich den Titel nicht mehr (irgendwas mit Netzwerk!)

 

gruß

klaus

Link to comment

halllo

 

erstmal danke für die ausführliche antwort....ich habe leider en paar fragen:

 

----

Dann steigt bei ungünstiger Definition der Gruppen der Replikationsaufwand und damit die Belastung der GC-Server und WAN-Verbindungen

----

wieso das...`? Als ungünstige Konfiguration ist die Verteilung der Rechte lediglich mit lokalen gruppen gemeint, oder....?

 

Vorallem: wieso mehr Traffic beim alleinigen vergeben von lokalen Gruppen...`? Was muss mehr repliziert werden bei Vergabe von lok. anstatt globalen Gruppen...? Wieso wird die Verbindung zum WAN langsamer..?

 

----

Da Ressourcen ihren Standort nur in Ausnahmefällen ändern und auch Zugriffe auf Ressourcen über Standort-/Domänengrenzen hinweg eher selten erfolgen macht deren Zuordnung zu lokalen Gruppen durchaus Sinn.

-----

das ist für mich also nicht klar, wieso, sorry...

 

der einzige von dir erwähnte unterschied der globalen und lokalen gruppen besteht im gültigkeits/bekanntheits-kreis (also wo überall bekannt/gültig).......

 

was hat dies damit zu tun, dass die shares praktisch nie ändern....? Wieso macht die Zuordnung zu lok. Gruppen Sinn, während die Zuordnung der Rechte auch mit globalen Gruppen erledigt werden kann...? Schaut er auf anderen GCS' nach ...?

 

 

danke&gruss

pablo

Link to comment

Hallo Pablo,

 

als erstes noch ein Mal ein Zitat aus meiner Vorherigen Antwort:

 

Wie gesagt, in kleinen Umgebungen mit nur einer Domäne an einem Standort wirst Du die Vorteile der empfohlenen Vorgehensweise in der Regel nicht feststellen.

 

------

---

Dann steigt bei ungünstiger Definition der Gruppen der Replikationsaufwand und damit die Belastung der GC-Server und WAN-Verbindungen

----

wieso das...`? Als ungünstige Konfiguration ist die Verteilung der Rechte lediglich mit lokalen gruppen gemeint, oder....?

------

 

Nein, als ungünstige Konfiguration ist die Verwendung von Universellen Gruppen gemeint. Da bei diesem Gruppentyp sowohl die Gruppe als auch die Mitglieder in den GC eingetragen werden, steigt der Replikationsaufwand zwischen den GCS, was zu einer höheren Grundbelastung des Netzes führt. Dadurch bleibt weniger Bandbreite für die Anwender übrig, dieser Effekt dürfte am ehesten bei den WAN-Verbindung zu bermerken sein.

 

------

----

Da Ressourcen ihren Standort nur in Ausnahmefällen ändern und auch Zugriffe auf Ressourcen über Standort-/Domänengrenzen hinweg eher selten erfolgen macht deren Zuordnung zu lokalen Gruppen durchaus Sinn.

----

das ist für mich also nicht klar, wieso, sorry...

------

 

Das war ironisch gemeint, allerdings ist auch ein Denkfehler meinerseits dabei.

Lokale Gruppen sind nur innerhalb der eigenen Domäne gültig und können über Domänengrenzen hinweg nicht eingesetzt werden! Hatte ich in dieser Konsequenz noch nicht ganz realisiert...

 

Ressourcen sind in der Regel standortgebunden (mir ist noch kein Share im Bus begegnet :D) und benötigen nur Zugriffsrechte innerhalb der Domänen. Daher ist die Zuordnung zu lokalen Gruppen ausreichend. Bei Definition vieler Globalen Gruppen für Ressourcen wächst die Datenmenge des GC ohne zusätzlichen Nutzen an, was zu erhöhtem Replikationsaufkommen führt und dadurch WAN-Verbidungen ... - das hatten wir aber schon.

 

Es lassen sich natürlich auch Argumente gegen dieses Vorgehen aufführen - z.B. Daten werden regelmäßig von Konstruktion (Sub-Dom1) an Fertigung (Sub-Dom2) weitergereicht (verschoben), die ursprünglichen (NTFS-) Berechtigungen sollen erhalten bleiben. Mit lokalen Gruppen ist dies nicht zu realisieren, bei Globalen oder universellen Gruppen stellt dies kein Problem dar.

 

Wie bei allem muß bei der Planung des Infrastruktur eine Bewertung und Gewichtung der einzelnen Faktoren stattfinden, als Ergebnis kristallisiert sich das eine oder das andere Vorgehen oder ein Mix aus beidem als die beste Vorgehensweise heraus.

 

Ich weiß leider auch keine Quelle, wo das alles nachzulesen ist, der Ursprung des Vorgehens liegt aber bei NT ...

 

gruß

klaus

Link to comment

also, mal kurz und bündig:

 

gruppen:

 

lokal--->Gruppen werden innerhalb einer Domäne auf den GC ALLER DC's gespeichert

 

global---->??????????

universal--->Gruppen und Mitglieder werden auf den GC ALLER DC's in allen im Netzwerk vorhandenen Domänen...gespeichert

 

 

So, wie ich's nun verstanden habe, ist der einzige Unterschied zwischen globalen und universellen Gruppen:

 

die globalen speichern NUR Gruppen und die universellen speichern Gruppen und Mitglieder.... (stimmts...? wohl kaum.....)

 

 

dann noch das:

---

Bei Definition vieler Globalen Gruppen für Ressourcen wächst die Datenmenge des GC ohne zusätzlichen Nutzen an,

---

 

Sorry, aber ich wäre verdammt froh, wenn du..(falls du willst) wirklich alles ABSOLUT THEORETISCH beschreiben könntest,....

 

weil ich nämlich wieder en Knopf habe....

 

du könntest nämlich mit globalen Gruppen geradesogut die universellen meinen......

 

 

ausserdem kannst du den obenstehenden Satz gar nicht so behaupten, .... weil wenn die Ressourcen über verschiedene Domänen hinweg geshart werden, was verursacht weniger Traffic:

 

ordner ist in lok. Gruppe A

lok. Gr. A ist in globale Gr. A

 

naja, wenn jemand von der gleichen Domain den Share abfragt, gibts so wie oben weniger Traffic als so wie unten. Aber wenn jemand von ner anderen Domain auf das Share zugreift, gibts weniger Traffic mit der Lösung unten....:

 

ordner ist in globale Gruppe A

 

 

 

auf jeden Fall ---> Danke Dir vielmals....

 

merci&gruss

pablo

Link to comment

---

lokal--->Gruppen werden innerhalb einer Domäne auf den GC ALLER DC's gespeichert

---

Wie kommst Du darauf, dass Informationen über lokale Gruppen innerhalb einer Domäne in den GC übernommen werden?

 

---

global---->??????????

---

global -> siehe erste Antwort meinerseits in diesem Betrag

 

---

... GC ALLER DC's ...

---

Nicht jeder DC hat zwangsweise einen GC ...

 

 

---

die globalen speichern NUR Gruppen und die universellen speichern Gruppen und Mitglieder.... (stimmts...? wohl kaum.....)

---

Welche meiner Äußerungen interpretierst Du auf diese Weise?

 

Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte auf Ressourcen über globale oder universelle Gruppen zu organisieren?

Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte von Anwendern über lokale Gruppen zu organisieren?

 

---

ausserdem kannst du den obenstehenden Satz gar nicht so behaupten, .... weil wenn die Ressourcen über verschiedene Domänen hinweg geshart werden, was verursacht weniger Traffic:

---

Auf welchen Satz beziehst Du Dich?

 

gruß

klaus

Link to comment

siehst du, was ich meine.......???

 

(falls du dich immer noch mit dem interessierten, aber schwer verstehenden abquälen willst, folgendes..:)

 

nun, wenn wir uns so weiterunterhalten, kommen wir zu nichts.... (also, ich komme zu nichts...)

 

----

Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte auf Ressourcen über globale oder universelle Gruppen zu organisieren?

Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte von Anwendern über lokale Gruppen zu organisieren?

------

es ist mir klar, dass ICH schlussendlich sage, was besser/schneller/logischer ist.... aber lassen wir doch die praktik an der seite, bitte.....

 

 

ich wäre sehr froh, wenn ich das wüsste:

 

lokale Gruppen sind wo gültig...?(innerhalb einer domain?) und WAS wird in ihnen abgespeichert....? (nur die mitglieder, nehm ich mal an....?)

 

dann die gleichen fragen zu den globalen und universellen gruppen, ok...(uni sind über domänen hinweg gültig, usw...)?

 

zusätzlich:

 

wo liegt der unterschied zwischen globalen und universellen gruppen....?

 

 

gruss&merci

pablo

 

 

 

p.s.: es ist mir klar, dass nicht jeder dc ein gc ist,.....

 

aber wenn beispielsweise lokale gruppen in der domain X erstellt werden, werden dann die Informationen über diese lokalen Gruppen nicht an ALLE GC's (und ich mein jetzt nicht dc, sorry) in der Domain X repliziert....?????????????

Link to comment

@pablo

 

ich habs gerade noch einmal nachgelesen:

 

Mitglieder lokaler Domänengruppen können sein

 

- Benutzer, Computer, lokale, globale und Universelle Gruppen der lokalen Domäne

- Benutzer, Computer, lokale, globale und universelle Gruppen aus Domänen, die für die lokale Domäne

explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle

Domänen im Wald)

 

Mitglieder globaler Gruppen können sein:

 

- nur Benutzer, Computer und globale Gruppen aus der lokalen Domäne

 

Mitglieder universeller Gruppen können sein:

 

- Benutzer, Computer, globale und universelle Gruppen aus der lokalen und jeder anderen Domäne im Wald

 

(Quelle: Insider: Windows 2000 Server von William Boswell, Martk+Technik-Verlag)

 

gruß

klaus

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...