Domänenlokale Gruppen im Active Directory
Wenn in einem Unternehmen die Frage gestellt wird, wer soll welche Berechtigungen bekommen, dann wird die Frage nach dem Wer mit Globalen Gruppen beantwortet. Hier werden die Benutzerkonten in Gruppen zusammengefasst. Fehlt also noch die Antwort auf die Frage, welche Berechtigungen.
Die Antwort darauf sind domänenlokale Gruppen. Domänenlokale Gruppen werden gebildet, um ihnen Berechtigungen zu erteilen. Dabei werden im ersten Schritt noch keinerlei Benutzer oder Globale Gruppen zugewiesen. Es werden lediglich Gruppen gebildet und Berechtigungen erteilt.
Der Administrator muss dabei sehr gut überlegen, welche domänenlokale Gruppen erstellt und welche Berechtigungen dieser Gruppe zugewiesen werden sollen. Dabei muss beachtet werden, dass es Gruppen geben kann, die eine Lese/Schreibberechtigung bekommen, nur Leseberechtigung bekommen oder der Zugriff verwehrt werden muss.
Beispiel Speiseplan: Alle Mitarbeiter sollen den Speiseplan lesen können. Die Mitarbeiter der Kantine sollen den Speiseplan löschen und aktualisieren können. Kein Mitarbeiter soll vom Speiseplan ausgeschlossen werden. Daher sind in diesem Beispiel nur 2 Gruppen notwendig. Einmal Lesen/Schreiben-Speiseplan und einmal Lesen-Speiseplan. In einem späteren Schritt werden die Globalen Gruppen diesen domänenlokalen Gruppen zugewiesen und alle Mitarbeiter haben die Berechtigungen, die sie haben sollen.
Globale Gruppen in domänenlokale Gruppen einfügen
Wenn globale Gruppen und domänenlokale Gruppen eingerichtet wurden, muss noch die letzte Frage beantwortet werden. Nämlich, welche globale Gruppe soll in welche domänenlokale Gruppe eingefügt werden, damit sie die entsprechenden Berechtigungen erhalten.
Auf dem Bild ist vereinfacht dargestellt, dass es zwei globale Gruppen gibt. Mitarbeiter Kantine und Mitarbeiter Vertrieb. Hier sind Benutzerkonten zusammengefasst.
In der nächsten Stufe gibt es zwei domänenlokale Gruppen. Lesen/Schreiben und Lesen. Diese haben den entsprechenden Zugriff auf den Speiseplan.
Die beiden globalen Gruppen Mitarbeiter Kantine und Mitarbeiter Vertrieb, werden nun in die entsprechende domänenlokale Gruppe eingefügt und erhalten so die Berechtigungen, die vorgesehen sind.
Mit dieser Strategie sind Benutzergruppen und Berechtigungsgruppen klar getrennt. Man könnte eine Benutzergruppe mit wenigen Mausklicks einer anderen Berechtigungsgruppe zuweisen. Das vereinfacht die Verwaltung von Berechtigungen enorm.
Diese Strategie wird auch AGDLP-Strategie genannt. Accounts - in global groups - in domainlocal groups - which get permissions. Übersetzt heißt das in etwa, Benutzerkonten werden in globalen Gruppen zusammengefasst, diese in domänenlokalen Gruppen eingefügt, welche die Berechtigungen besitzen.