Gruppen in Active Directory verwalten

In den Eigenschaften eines Benutzerkontos werden im Register Mitglied von die Gruppen angezeigt, in denen der Benutzer Mitglied ist. Die Zugehörigkeit in Gruppen ist maßgeblich entscheidend dafür, welche Berechtigungen ein User erhält.

Das Konzept hat sich deshalb etabliert, weil es mühselig ist, jedem einzelnen Benutzer die notwendigen Berechtigungen zu erteilen. Stattdessen richtet man Gruppen ein und vergibt der Gruppe die notwendigen Berechtigung. Wenn ein User nun die Berechtigungen erhalten soll, wird er einfach in die Gruppe aufgenommen und man vererbt automatisch die Berechtigungen der Gruppe an den Benutzer. So brauchen die Berechtigungen nur einmal für die Gruppe vergeben werden und nicht für jeden einzelnen User.

Gruppenmitgliedschaft
Mitgliedschaft in Gruppen

Jeder Benutzer ist nach der Neuanlage standardmäßig Mitglied der Gruppe Domänen-Benutzer. Der Administrator entscheidet danach, ob ein Benutzer in weiteren Gruppen aufgenommen wird oder nicht. Die Verwaltung der Gruppen und den Benutzern ist ein sehr wichtiges Thema. Einerseits muss dafür gesorgt werden, dass jeder Benutzer die für die tägliche Arbeit notwendigen Berechtigungen erhält, andererseits muss dafür gesorgt werden, dass die Benutzer nicht zu viele Rechte bekommen. Daher ist eine ausgeklügelte Strategie für die Vergabe von Berechtigungen notwendig.

Die Aufnahme in eine Gruppe ist sehr einfach. Klicken Sie auf die Schaltfläche Hinzufügen.

Im nachfolgenden Fenster können Sie die Gruppe angeben, in die der Benutzer aufgenommen werden soll. Unter Objekttyp kann die Einstellung auf Gruppen oder integrierte Sicherheitsprinzipale belassen werden. Als Suchpfad wählen Sie die Domäne aus. Im unteren Eingabefeld wird der Name der Gruppe eingegeben. Wenn Sie sich nicht sicher sind, wie der Name der Gruppe heißt, reichen auch die Anfangsbuchstaben. Klicken Sie auf die Schaltfläche Namen überprüfen, wird nach dem Namen gesucht. Die Schaltfläche Erweitert können Sie nutzen, um die ausführliche Suche zu starten und nach allen Gruppen zu suchen.

Gruppe hinzufügen
Benutzer einer Gruppe hinzufügen

In unserem Beispiel haben wir in das Eingabefeld Domänen eingegeben und auf die Schaltfläche Namen überprüfen geklickt. Zur Auswahl erscheinen nun alle Gruppen, in denen der Begriff Domänen vorhanden ist.

Gruppe auswählen
Gruppe auswählen

Wir könnten jetzt beispielsweise die Gruppe Domänen-Admins auswählen und den Benutzer in diese Gruppe aufnehmen. Auch mehrere Mitgliedschaften in Gruppen ist möglich.

Eine Herausforderung im Active Directory Umfeld ist, eine Strategie für Benutzerkonten, Gruppen und Berechtigungen auszuarbeiten. Um die Strategie zu unterstützen, wurden die Gruppen in zwei Arten eingeteilt. Globale Gruppen und Domänenlokale Gruppen.