Gruppen

galad.com MCSE 2000 Gruppen

Gruppen (Entwurf)

Inhalt:

Gruppen

Gruppen

Gruppentyp

Sicherheitsgruppen: Werden zur Erteilung und Verweigerung von Rechten und Berechtigungen an Benutzer- und Computergruppen verwendet. Können auch zum Versenden von E-Mails eingesetzt werden.
Verteilergruppen: Dienen zum Einsatz mit E-Mail-Diensten, die die Active Directory Struktur unterstützen, z.B. Exchange 2000. Können nicht zu Sicherheitszwecken verwendet werden.

Gruppenbereich

Domänenlokale Gruppen

Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
Erlauben Zugriff auf Ressourcen innerhalb einer Domäne.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.

Globale Gruppen

Enthalten Mitglieder aus derselben Domäne.
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert.
Der Gruppenname wird im globalen Katalog repliziert.
Globale Gruppen werden im globalen Katalog angezeigt.

Universale Gruppen

Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.
Mitgliedschaften werden im globalen Katalog in der Gesamtstruktur repliziert. Mitgliedschaften und Änderungen sollten deshalb auf ein Minimum reduziert werden. Es sollten keine einzelnen Benutzer zugefügt werden.
Universale Gruppen stehen nur im einheitlichen Modus zur Verfügung.

Gruppenbereich	Enthält (gemischt)	Enthält (einheitlich)	Mitglied von	Berechtigungen auf
Domänenlokal	Benutzer und globale Gruppen aller Domänen	Benutzer, globale und universale Gruppen aller Domänen Domänenlokale Gruppen derselben Domäne	Domänenlokale Gruppen derselben Domäne	Ressourcen derselben Domäne
Global	Benutzer derselben Domäne	Benutzer und globale Gruppen derselben Domäne	Universale und domänenlokale Gruppen aller Domänen Globale Gruppen derselben Domäne	Ressourcen in allen Domänen
Universal	-	Benutzer, globale und universale Gruppen aller Domänen	Universale und domänenlokale Gruppen aller Domänen	Ressourcen in allen Domänen

Auch in Windows 2000 sollten die Ressourcenzugriffe nach dem AGLP-Prinzip (Account - Global - (Domain)Local - Permission) geregelt werden: Alle Benutzer, die Zugriff auf eine Ressource benötigen, werden in globalen Gruppen zusammengefasst. Für die Ressource wird eine domänenlokale Gruppe angelegt, dieser werden die globalen Gruppen domänenübergreifend hinzugefügt. Der domänenlokalen Gruppe werden die Zugriffsberechtigungen auf die Ressource erteilt. Zur weiteren Strukturierung können globale Gruppen verschachtelt werden (im einheitlichen Modus). Universale Gruppen sollten nur eingesetzt werden, wenn sie wirklich notwendig sind. Die Verschachtelungsebenen sollten grundsätzlich minimiert werden.

AGLP

Verwaltung

Erstellung

Der Gruppenname muss innerhalb des Containers, in dem die Gruppe erstellt wird, eindeutig sein.
Der Gruppenname für Windows NT muss innerhalb der Domäne eindeutig sein.

Änderungen

Änderungen von Gruppentyp und Gruppenbereich sind nur im einheitlichen Modus möglich.
Verteilergruppen können jederzeit in Sicherheitsgruppen und umgekehrt geändert werden.
Eine globale Gruppe kann in eine universale Gruppe geändert werden, wenn sie nicht Mitglied einer anderen globalen Gruppe ist.
Eine domänenlokale Gruppe kann in eine universale Gruppe geändert werden, wenn sie keine andere domänenlokale Gruppe enthält.
Universale Gruppen können aufgrund der restriktiveren Mitgliedschaft der anderen Gruppen nicht geändert werden.

Löschen

Löscht die Gruppe mit allen Rechten und Berechtigungen, aber keine Mitglieder.
Eine gelöschte Gruppe kann durch identische Neuerzeugung nicht wiederhergestellt werden, da die neue Gruppe eine neue SID erhält.

Inhaltlicher Stand: 2001-10-23

galad Webdesign 2001 - Alle Rechte vorbehalten
Von diesem Dokument dürfen im Rahmen von Schulungen Kopien für die Teilnehmer angefertigt werden. Dieser Hinweis muß darauf enthalten sein. Jede anderweitige kommerzielle Verwertung ist untersagt.