Gruppen in Active Directory richtig einsetzen

In Active Directory gibt es verschiedene Arten und Bereichen von Benutzergruppen. Administratoren sollten die Unterschiede verstehen, da nur bei richtigem Einsatz Berechtigungen optimal gesetzt werden können. Vor allen in Active Directory-Gesamtstrukturen (Forests) mit mehreren Domänen spielen die Unterschiede der Gruppen eine maßgebliche Rolle.

Die verschiedene Active Directory Gruppen

Grundsätzlich ist es sinnvoll für Berechtigungen mit eigenen Gruppen zu arbeiten und vorhandene Gruppen möglichst nichts zu ändern. Natürlich kann es an der einen oder anderen Stelle notwendig sein die Standardgruppen zu nutzen. Für die Zuweisung von speziellen Berechtigungen sind eigene Gruppen meistens besser geeignet. In Active Directory spielen vier Gruppenbereiche eine wichtige Rolle.

• Lokal
• Domänenlokal
• Global
• Universal

Beim Anlegen von neuen Gruppen können Sie auswählen welche Art von Gruppe Sie erstellen wollen. Das spielt bei der späteren Verwendung eine wichtige Rolle, und kann teilweise auch zu Problemen bei der Zuweisung von Rechten führen.

Natürlich ist es auch wichtig, dass Sie beim Anlegen von neuen Gruppen den Gruppentyp „Sicherheit“ auswählen. Der Typ „Verteilung“ dient zum Beispiel beim Einsatz von lokalen Exchange-Servern für die E-Mail-Verwaltung. Verteilgruppen können Sie nicht als Sicherheitsprinzipale nutzen. Es ist dagegen aber problemlos möglich Sicherheits-Gruppen für E-Mail zu aktivieren, wenn Sie im Netzwerk auf lokale Exchange-Server setzen. Die Auswahl des Gruppenbereiches nehmen Sie beim Anlegen der neuen Gruppe vor:

Lokal (in Domäne) – Diese Gruppen nutzen Sie vor allem für das Integrieren von globalen Gruppen oder Benutzerkonten. Die Benutzer können Mitglied in einer globalen Gruppe sein. Die globale Gruppe kann Mitglied in der lokalen Gruppe sein, die zum Beispiel für das Zuweisen von Benutzerrechten zum Einsatz kommt. Lokale Gruppen sind ohne Active Directory nur auf dem lokalen Server nutzbar. In einem Active Directory handelt es sich bei lokalen Gruppen automatisch um domänenlokale Gruppen. Die Gruppen sind auf Mitgliedssystemen einer Domäne verfügbar, zum Beispiel um Berechtigungen zu verteilen.

Global – Globale Sicherheitsgruppen sind in der kompletten Gesamtstruktur verfügbar, nicht nur in einer Domäne wie domänenlokale Gruppen. Als Mitglied können diese Gruppen aber nur Objekte aus der eigenen Domäne enthalten. Domänenlokale Gruppen können wiederum globale Gruppen aus verschiedenen Domänen aufnehmen. Globale Gruppen können daher als Mitglied von lokalen und universellen Gruppen genutzt werden. Es ist auch möglich globale Gruppen zu verschachteln, also mehrere globale Gruppen in einer weiteren globalen Gruppe aufzunehmen.  

Universal – Universale Gruppen sind die „Super“-Gruppen in Active Directory. Diese Gruppen sind in allen Domänen einer Gesamtstruktur nutzbar und können auch Mitglieder aus allen Domänen enthalten. Diese Gruppen sollten Sie aber sehr vorsichtig einsetzen. Die Gruppen sind im globalen Katalog gespeichert. Dadurch werden Sie zwischen den Domänencontrollern repliziert. Das erhöht natürlich die Last der Replikation zwischen Domänencontrollern. Die Gruppen sollten nur dann zum Einsatz kommen, wenn es notwendig ist Gruppen aus mehreren Domänen in eine Gruppe zu integrieren, die später auch im ganzen Active Directory vorhanden sein soll, zum Beispiel um Berechtigungen zu vergeben.

Um die Mitgliedschaft der universtellen/universalen Gruppen in Active Directory für einen Standort zwischenzuspeichern, ist nicht immer ein globaler Katalog notwendig. Sie können auch im Verwaltungstool Active Directory-Standorte und -Dienste, das sie über dssite.msc starten können, auch die Zwischenspeicherung der Gruppen automatisch aktivieren. Dazu klicken Sie auf den Standort und wählen in der Mitte des Fensters die Eigenschaften von „NTDS Site Settings“ aus. Aktivieren Sie auf der Registerkarte „Standorteinstellungen“ die Option „Zwischenspeichern der universellen Gruppenmitgliedschaft aktivieren“.

Dadurch können Clients erst den lokalen DC und dessen Cache nutzen, bevor ein globaler Katalog angefragt werden muss. Der Cache am Standort aktualisiert sich alle 8 Stunden automatisch.

Empfehlungen bei der Vergabe von Berechtigungen

Um Berechtigungen richtig zu setzen, empfiehlt Microsoft eine Struktur an Gruppen, welche die Vorteile der Gruppen nutzt und gleichzeitig die Domänencontroller und das Netzwerk entlastet. Ein weiterer Vorteil bei der Verwendung der empfohlenen Vorgehensweise besteht auch darin, dass die Pflege von Berechtigungen und von Mitgliedschaften einfacher ist und ebenfalls Domänencontroller und Active Directory entlasten. Die Empfehlungen sind folgende:

Berechtigungen in Active Directory setzen Sie in Domänen auf Basis von (domänen-) lokalen Gruppen. Dadurch ist sichergestellt, dass die Berechtigungsstruktur, zum Beispiel bei Freigaben, nicht jedes Mal geändert werden muss, wenn ein neuer Benutzer Zugriff erhalten soll.

Die Benutzer in den einzelnen Domänen sind Mitglied in der jeweiligen globalen Gruppe der Domäne, die Berechtigung über die oben erwähnte (domänen-) lokale Gruppe erhalten. Wenn Benutzer in dieser Struktur Zugriff auf eine Freigabe erhalten sollen, reicht es aus diese in die jeweilige globale Gruppe aufzunehmen, die wiederum Mitglied der lokalen Gruppe ist, mit der die Berechtigungen gesetzt sind.

Benutzerkonten sollten daher möglichst nicht direkt Zugriff erhalten, sondern immer Mitglied ein einer globalen Gruppe sein. Die globale Gruppe ist Mitglied in der jeweiligen lokalen Gruppe, die wiederum die Rechte hat. In der Abbildung sehen Sie an einem Beispiel, wie so eine Struktur aussehen kann.

Im Konzept der Abbildung ist die optimale Struktur einer solchen Umgebung zu finden:

• Domänenlokale Gruppen können nur in einer Domäne genutzt werden, aber globale Gruppen aus verschiedenen Domänen aufnehmen.
• Globale Gruppen können als Mitglied nur Benutzer aus der eigenen Domäne und andere globale Gruppen aufnehmen. Allerdings sind diese Gruppen als Mitglied überall einsetzbar.

Die Vertriebsmitarbeiter in Dallas können auf die Freigabe in Dallas und die Freigabe in München zugreifen. Neue Mitarbeiter erhalten Zugriff durch die Aufnahme in der jeweiligen Gruppe. Dieses Beispiel zeigt die Möglichkeiten, wie Gruppen in Active Directory richtig zum Einsatz kommen können. 

Gruppen im IDM-Portal pflegen

Im IDM-Portal lassen sich alle Gruppentypen und -Bereiche genauso pflegen, wie mit den Active Directory-Tools. Arbeiten Sie mit dem Portal, können Sie über die Registerkarte „Gruppen“ die verschiedenen Gruppen in Active Directory anzeigen lassen. Rufen Sie die Eigenschaften einer Gruppe auf, sehen Sie bei „Gruppentyp“ die verschiedenen Typen und Bereiche in einem Dropdownmenü. Abhängig von der Art der Gruppe können Sie an dieser Stelle auch den Gruppentyp und den Gruppenbereich anpassen. Danach steht die Gruppe mit ihren neuen Optionen in Active Directory zur Verfügung.

Auch beim Anlegen von neuen Gruppen können Sie über das Dropdownmenü „Gruppentyp“ den Gruppenbereich und auch den Typ der Gruppe auswählen. Beim Anlegen einer neuen Gruppe im IDM-Portal können Sie über die Registerkarte „Gruppenmitglieder“ auch gleich die Benutzerkonten in Active Directory auswählen, die Mitglied der Gruppe sein sollen. Auf der rechten Seite im Fenster ist es möglich mit „Verwaltet von“ festzulegen, welche Benutzer in Active Directory das Recht erhalten sollen Benutzerkonten in die Gruppe zu integrieren. 

Fazit

Die Berechtigungsverwaltung spielt eine Rolle für die Sicherheit. Zu viel oder zu wenig Rechte, können im schlimmsten Fall der Arbeit schaden. Die Automatisierung von der Berechtigungszuordnung vermeidet Fehler und bedeutet weniger Aufwand für die IT-Abteilung.

Uns kontaktieren