8.5 Diverses über Gruppen
Organisationseinheiten werden verwendet, um das Active Directory zu strukturieren. Diese Struktur wird beispielsweise auch genutzt, um die Ausführung der Gruppenrichtlinien zu steuern – so weit klar. Wenn Sie Berechtigungen zuweisen, beispielsweise für den Zugriff auf das Dateisystem, kann das aber nicht aufgrund der Mitgliedschaft in einer Organisationseinheit geschehen, sondern wird mit Gruppen geregelt – also letztendlich wie in der guten alten NT4-Zeit. Allerdings gibt es deutlich mehr Gruppentypen als vor zehn Jahren, nämlich:
Abbildung 8.178 Anlegen einer Gruppe. Neben dem obligatorischen Namen müssen Sie den Gruppenbereich und den Gruppentyp festgelegen.
Weiterhin müssen Sie entscheiden, ob Sie eine Gruppe als Sicherheitsgruppe oder »nur« für die Verteilung nutzen möchten. Letztgenannter Typ wird beispielsweise vom Exchange Server verwendet, um statische Verteilergruppen abzubilden (Abbildung 8.178).
Die nachfolgende Tabelle stellt die drei Gruppenbereiche gegenüber:
Gruppenbereich | In dieser Gruppe können Mitglied werden | Verwendung |
Lokal (in Domäne) |
|
|
Global |
|
|
Universal |
|
|
Universale Gruppen sind, wie der Name ja eigentlich auch schon sagt, die flexibelsten und universellsten (sic!) Gruppen. Damit dieser Leistungsumfang möglich ist, werden die Gruppenmitgliedschaften in den globalen Katalog repliziert und somit über die komplette Gesamtstruktur verteilt. Nun würde ich ein »etwas mehr Replikationsverkehr« in heutigen Zeiten nicht überbewerten – zwischen Unternehmensstandorten werden im Allgemeinen wohl keine 64-kbit/s-ISDN-Wählverbindungen verwendet werden. Wenn Sie universale Gruppen mit Tausenden von Benutzern haben, sollten Sie allerdings darauf achten, dass die Funktionsebene der Gesamtstruktur mindestens auf Windows Server 2003 angehoben ist. In der Windows 2000-Funktionsebene kann nur die komplette Gruppenmitgliedschaftsliste repliziert werden, während die höheren Funktionsebenen nur die Änderungen replizieren.
Über das Design von Gruppen könnte ich viele Dutzend Seiten schreiben. Das will ich hier nicht tun, sondern ich möchte Ihnen in kurzer und knapper Form die wesentlichen drei Grundsätze vermitteln:
- Benutzer werden Mitglied in globalen oder universalen Gruppen.
- Berechtigungen werden an domänen-lokale Gruppen vergeben.
- Die globalen oder universalen Gruppen werden Mitglied der domänen-lokalen Gruppen.
Seit NT4
Diese »Regel« hat sich übrigens seit NT4-Zeiten nicht verändert. Dort waren lokale Gruppen aber in der Tat Gruppen, die lokal auf dem NT-Server abgelegt wurden, während man heute die domänen-lokalen Gruppen verwendet.
Das Bearbeiten der Gruppeneigenschaften geschieht im Snap-In Active Directory-Benutzer und -Computer. Ich darf wohl davon ausgehen, dass jeder Leser die dortigen Einstellmöglichkeiten kennt (Abbildung 8.179).
Abbildung 8.179 Bearbeiten der Eigenschaften von Gruppen
Ihre Meinung
Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.