Jump to content
Sign in to follow this  
flixs

D und G Gruppen im AD

Recommended Posts

Hallo

ich brauch nochmal Klarheit bzgl domänen lokalen und domänen globaler Gruppen:

 

Backround ist: ich habe eine domäne, mehrere Standorte und verschiedene Gruppen die ich auf Programme berechtige

(das ganze ist für ein Vortrag bei dem ich das erklären muss warum ich D und G Gruppen verwende)

 

also ich habe jeweils für ein Programm die User in eine G und diese in eine D Gruppe gepackt.

 

Warum aber braucht man die Domänen Lokale, weil eigtl gehts ja auch nur mit der Globalen. das ganze vllt mit Blick auf mehrere Domänen und mehr Berechtigungen

 

ich habs zwar schon hier und da mal so halb gelesen aber so richtig überzeugend verstanden hab ichs immer noch net :suspect:

 

falls einer davon Ahnung hat aber nich ganz versteht was ich will kann ichs ihm auch gern noch genauer erklären ;)

Share this post


Link to post

Hi,

 

die DL Gruppen brauchst Du eigentlich nur, wenn Du Trusts zu anderen Domains hast. Bei einer Domäne brauchst Du sie eigentlich nicht, d.h. es geht auch ohne, aber wenn Du Dein Berechtigungskonzept ein sauberes Design sieht A-G-DL-P vor.

 

Gruß

Dirk

Share this post


Link to post

also könnte man es auch so begründen, das es so übersichtlich(er) ist und MS das so rät?!

wie siehts denn bei mehreren domänen mit Replikationsverkehr aus? da ja nur G Gruppen repliziert werden. wenn zb. aus 3 domänen G gruppen in einer D einer domäne wären

Share this post


Link to post

Stell dir vor, du willst einem normalen Domänenbenutzer die Möglichkeit geben, Berechtigungen zu verwalten. Das kann er so nicht.

Richtest du allerding Ressourcengruppen (Domänenlokal) und Abteilungsgruppen (Global) ein, so kann dieser User mit AGDLP arbeiten. Er muss nicht mehr die Berechtigungen direkt, sondern nur noch Gruppenmitgliedschaften ändern.

Beispiel:

- 3 Zugriffslevel (Lesen / Ändern / Vollzugriff)

DL_Daten_LE

DL_Daten_AE

DL_Daten_VZ

Diesen Gruppen gibt der Admin die entsprechenden Berechtigungen auf der Ressource.

- 3 Abteilungen

G_Buchhaltung

G_Geschäftsleitung

G_Praktikanten

 

Der normale User muss jetzt nur noch die G Gruppen in die DL Gruppen schieben, schon hat er Berechtigungen vergeben. Die Berechtigungen die er zum Ändern der Gruppenmitgliedschaft braucht, kann man ihm einfach in Active Directory delegieren.

Share this post


Link to post

und die Rechte werden deshalb auf DL Gruppen vergeben, damit diese nur in dieser domäne gültig sind und nicht in einer anderen?

und G Gruppen damit man zb der Buchhaltung dann in einer anderen domäne evtl andere Rechte zu geben?

 

G Gruppen sind ja in jeder domäne bekannt und DL nur in der einen oder?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...