Berechtigungsvergabe - Strategie
Kein Benutzer sollte mehr Berechtigungen erhalten als für seine Tätigkeiten notwendig sind. Das hat auch einen guten Grund!- Denn nicht jeder möchte alles teilen. Um dies zu verhindern gibt es hier hervorragende Strategien.
Durch die beiden Berechtigungsvergaben Freigabe und NTFS lässt sich eine saubere Ordnerstruktur erstellen, damit jeder Benutzer Zugriff auf alle für ihn bestimmten Ressourcen hat.
Hierbei sollten die Unterschiede der jeweiligen Gruppenbereiche Globale Gruppe und Domänenlokale Gruppen bekannt sein.
Globale Gruppe (GG)
- Ab WIN2003 ist die Mitgliederzahl unbeschränkt. Vorher waren es bei Win2000 max. 5000 Benutzer.
- Die Mitglieder (Benutzer und globale Gruppen) sind aus der eigenen Domäne.
- Globalen Gruppen können aus Mitgliedern von beliebigen domänenlokaler Gruppen und universeller Gruppen in der eigenen Struktur, sowie auch aus anderen vertrauten Gesamtstrukturen sein.
- Globale Gruppen werden zusammengefasst, um die Benutzer nach ihren Aufgaben und Tätigkeiten zusammenzuführen.
Domänenlokale Gruppe (LG)
- Domänenlokale Gruppen sind unter allen Domänenfunktionsebenen verfügbar.
- Die Mitglieder (Benutzer, globale Gruppen und universelle Gruppen) bestehen aus einer oder mehreren vertrauten Domänen in der eigenen Gesamtstruktur bzw. Gesamtstrukturen. Einzelne Benutzer in einer domänenlokalen Gruppe soll nur in den Ausnahmefall vorkommen.
- Mit Domänenlokale Gruppen ermöglicht man auf bestimmte Arten von Ressourcen zuzugreifen und zusammenzufassen.
Jedoch werden sie meist für jede Ressource einzeln erzeugt. - Zugriff auf beliebige Ressourcen in der eigenen Domäne.
Weitere Informationen
Siehe: Gruppenverwaltung
Verschiedene Strategien
Aufgrund der vielen verschiedenen Gruppentypen und Gruppenbereiche haben sich unterschiedliche Vorgehensweisen entwickelt, nach denen man sich richten kann, um die Berechtigungsvergabe so einfach wie nur möglich zu erstellen. Je größer das Unternehmens, desto schneller könnte es unübersichtlich werden.
Die Strategien
- AGDLP
- AP, AGP, AdLP
- AGUDLP
AGDLP-Strategie
Diese Strategie erklärt das sinnvolle Vorgehen bei Gruppenzuordnungen und sollte bei einem Unternehmen ab 250 Benutzern angewendet werden.
Die Bedeutung der Anfangsbuchstaben
A, G, DL, P
Accounts (Benutzerkonten)
Global Groups (Globale Gruppen)
Domain Local Groups (Domänenlokale Gruppen)
Permissions (Berechtigungen)
Vorgehensweise
- Der Benutzer (Accounts) erhält aufgrund seiner Tätigkeiten die Mitgliedschaft in einer globalen Gruppe (Global Groups).
Hierbei ist darauf zu achten, dass die globalen Gruppen aussagekräftige Bezeichnungen erhalten.
GG-M-Geschäftsführer = GlobaleGruppe-München-Geschäftsführer
- Beim Erstellen von lokalen Gruppen (LG) kann ebenfalls einen aussagekräftiger Name erstellt werden.
LG-Berichte-L = LokaleGruppe-Berichte-Lesen
LG-Berichte-AE = LokaleGruppe-Berichte-Ändern
LG-Berichte-VZ = LokaleGruppe-Berichte-Vollzugriff - Die globale Gruppe wird einer passenden lokalen Gruppe (Domain Local Groups) als Mitglied zugeordnet.
GG-M-Geschäftsführer wird Mitglied bei der Gruppe LG-Berichte-VZ
- Es erfolgt die Berechtigungsvergabe (Permissions) an die lokale Gruppe.
Jedes Mitglied der globalen Gruppe erhält die mit der lokalen Gruppe verbundenen Ressourcen.
Zu aller erst sollen die Benutzerkonten (A) der jeweilige globalen Gruppen (G) zugeordnet werden. Diese globalen Gruppen (G) werden anschließend in einer lokalen Domänengruppe (DL) eingefügt, die die jeweiligen Berechtigungen (P) besitzen.
Hat man dieses Regel erstmal verstanden, dann ist es mit dem Zusammenspiel der Berechtigungsvererbung ein beachtliches Hilfsmittel. Steht erstmal die durchdachte Strategie der Ordnerhierarchie, dass die Berechtigungsvergaben bereits ganz oben an der Spitze konfiguriert wird und auf die unteren Ebenen vererbt werden können, dann steht nix mehr gegen die verschiedenen Gruppentypen und Gruppenbereiche. Abgesehen von dem Gebrauch, dass Unterbrechungen der Vererbung möglich wären. Dies sollte jedoch nur sehr selten angewendet werden.
Ziel soll sein, wenn ein Mitarbeiter in eine andere Abteilung versetzt wird, dass es ausreicht, sein Benutzerkonto von einer GG in die andere GG zu verschieben. Die bisherigen Berechtigungen werden automatisch von den Berechtigungen der neuen Abteilung ausgetauscht.
Dadurch kann auch jederzeit in der lokalen Gruppe überprüft werden, über welche Berechtigungen ein Benutzerkonto verfügt.
Vergibt man aussagekräftige Namen bei den Gruppenbezeichnungen wird einen schnell klar, was die Mitgliedschaft in einer Gruppe bedeutet.
Das schafft Transparenz und Übersichtlichkeit.
Beispiel 1
Es sollen im Unternehmen zwei weitere Ordner (Auswertung1 u. Auswertung2) aus der Abteilung Verkauf und aus der Abteilung Einkauf für die jeweiligen Benutzer Zugriff gewährt werden. Zusätzlich werden diese beiden Ordner auch von der Geschäftsleitung benötigt. Die Berechtigung soll sich nur auf LESEN beschränken.
Ziel soll sein nach der AGDLP-Strategie vorzugehen.
Vorgehensweise
- Erstellung von 3 globalen Gruppen
GG-Verkäufer, GG-Einkäufer, GG-Geschäftsleiter; - Den globalen Gruppen die Benutzer zugeordnet.
- Erstellung von 2 lokalen Gruppen.
LG-Auswertung1-L, LG-Auswertung2-L,
(…Das -L am Ende steht für Lesen); - Die 3 globalen Gruppen (siehe Pkt.1) jeweils als Mitglieder zu den lokalen Gruppen (siehe Pkt.3) zugeordnet.
- In den jeweiligen Ressourcen der Registerkarte Sicherheit:
Auswertung1 die LG-Auswertung1-L hinzufügen.
Auswertung2 die LG-Auswertung2-L hinzufügen.
Entferne die Gruppe JEDER (falls vorhanden).
Einstellung der Berechtigung: LESEN.
Würden sich in diesem Fall die beiden Ordner Auswertung1 u. 2 in einem Ordner Auswertung befinden, würde es ausreichen die Berechtigung in dem Ordner Auswertung vorzunehmen, da alle darin befindlichen Ordner die Berechtigungen vererbt bekommen.
Die Berechtigung Verweigern sollte immer vermieden werden, da diese Berechtigung zu allen anderen Berechtigungen Vorrang hat und weitere ungewollte Ergebnisse auslösen kann.
Beispiel 2
In der Abteilung Einkauf wurde für längere Zeit ein Praktikant eingestellt, der ebenfalls die Berechtigung LESEN für die Ordner erhalten soll.
Vorgehensweise
- Erstellung einer weiteren globalen Gruppe.
GG-Praktikanten - Der globalen Gruppe (GG-Praktikanten) den Benutzer zuordnen.
- Die globale Gruppe (GG-Praktikanten) wird als Mitglied zu den lokalen Gruppen (LG-Auswertung1-L und LG-Auswertung2-L) zuordnen.
- Einstellungen in den Berechtigungen müssen nicht vorgenommen werden, da die lokalen Gruppen bereits die Berechtigung LESEN besitzen.
Dann legen wir noch eins drauf!
Es sollen nun doch alle Benutzer der GG-Geschäftsleitung die Berechtigungen von LESEN auf ÄNDERN abgeändert werden.
Vorgehensweise
- Erstellung von 2 weiteren lokalen Gruppen.
LG-Auswertung1-AE, LG-Auswertung2-AE,
(…Das -AE am Ende steht für Ändern) - Die globale Gruppe (GG-Geschäftsleiter) wird jeweils zu den lokalen Gruppen
(LG-Auswertung1-AE, LG-Auswertung2-AE) verschoben. - Die jeweiligen Ressourcen in der Registerkarte Sicherheit erstellen:
+ Auswertung1 die LG-Auswertung1-AE hinzufügen.
+ Auswertung2 die LG-Auswertung2-AE hinzufügen.
Einstellung der Berechtigung: ÄNDERN.
Beispiel 3
Es befindet sich innerhalb einer Ordnerstruktur ein Ordner mit der Bezeichnung Bestandsauswertung. Die Mitarbeiter "Horst Lagerhose", "Günter Schenksdir" und "Rüdiger Pausenmacher" (Zeitarbeiter), sollen einen Zugriff mit der Berechtigung Lesen u. Schreiben erhalten.
Vorgehensweise
- Die Benutzer "Horst Lagerhose" und "Günter Schenksdir" sind bereits Mitglied einer globalen Gruppe (GG-Außenlager) zugeordnet. Deshalb muss als erstes der Zeitarbeiter "Rüdiger Pausenmacher" zu derselben Gruppe hinzugefügt werden.
- Erstellung einer domänenlokale Gruppe.
DL-Bestandsauswertung-RW.
(…Das -RW am Ende steht für Read & Wright "Lesen und Schreiben") - Die globale Gruppe (GG-Außenlager) wird als Mitglieder zu der domänenlokalen Gruppe
(DL-Bestandsauswertung-RW) zugeordnet. - In der Ressource die Freigabe:
+ Der Bestandsauswertung die DL-Bestandsauswertung-RW hinzufügen.
Einstellung der Freigabe-Berechtigung: LESEN u. SCHREIBEN. - In der Ressource der Registerkarte Sicherheit:
+ Der Bestandsauswertung die DL-Bestandsauswertung-RW hinzufügen.
Einstellung der NTFS-Berechtigung: LESEN u. SCHREIBEN.
Die AP-, AGP und ADLP -Strategie
Bei Unternehmen bis zu 10 Benutzern oder weniger als 50 Benutzern wäre die oben vorgestellte Strategie etwas zu aufwendig. Deshalb kann man sich hier auch an verschiedene Strategien anlehnen, die ich in verkürzter Form ankratzen werde.
AP-Strategie
Die Bedeutung der Anfangsbuchstaben
A = Accounts (Benutzerkonten)
G = Global Groups (Globale Gruppen)
DL = Domain Local Groups (Domänenlokale Gruppen)
P = Permissions (Berechtigungen)
Bei der Umsetzung in einem Unternehmen < 10 Benutzern reicht es aus die AP-Strategie anzuwenden. Das heißt, dass die Berechtigungsvergabe direkt an die Benutzer vergeben werden.
Hiebei sollte bedacht werden, dass die Strategie AP u. ADLP nicht skalierbar ist. Wächst das Unternehmen an, erhöht das schnell den Arbeitsaufwand.
Wurde bislang in einem Kleinunternehmen die AP-Struktur angewendet und man stellt nach einer gewissen Zeit fest, dass das Anwenden von Gruppen viel geschickter gewesen wäre, müssen nicht nur alle Gruppen angelegt werden, sondern jede Berechtigung der Benutzer und freigegeben Ordner müssen einzeln bearbeitet werden.
Ebenso bei der ADLP-Strategie müssen aufwendige Arbeiten durchgeführt werden, wenn z.B. eine weitere Domäne zum Unternehmen hinzu kommt.
Bei einer Verschmelzung zweier Unternehmen werden die domänenlokalen Gruppen kaum eine Verwendung zur anderen Domäne bieten.
AGP-Strategie
Die Bedeutung der Anfangsbuchstaben
A = Accounts (Benutzerkonten)
G = Global Groups (Globale Gruppen)
DL = Domain Local Groups (Domänenlokale Gruppen)
P = Permissions (Berechtigungen)
Bei der AGP-Strategie wird meist in Unternehmen < 50 Benutzer angewendet. Hier wird schlicht und einfach auf die domänenlokale Gruppen (DL) verzichtet. Die Berechtigungen werden gleich direkt den globalen Gruppe (G) zugeordnet.
Werden die globalen Gruppen weg gelassen und die Berechtigungen an die lokalen Gruppen (DL) vergeben, dann spricht man von der ADLP-Strategie.
AGUDLP-Strategie
Bei dieser Strategie kommen zusätzlich zu den globalen Gruppen und lokalen Gruppen die universellen Gruppen ins Spiel.
Vorteil
- Alle Objekte aus anderen Domänen (universellen Gruppe) können Mitglied sein.
- Durch die Mitwirkung von universellen Gruppen kann ein Domänenübergreifender Zugriff auf Ressourcen erzielt werden. Die Mitgliedschaft in einer universellen Gruppe wird im globalen Katalog gespeichert. Dadurch werden Informationen domänenübergreifend schneller bereitgestellt. Es sollten sich Mitglieder in universellen Gruppen befinden, die sich selten oder gar nicht ändern, weil diese Informationen über die Domäne repliziert werden.
Daher ist es auch ratsam, dass globale Gruppen als Mitglieder in einer universellen Gruppe hinzugefügt werden, zumal sich globale Gruppen kaum ändern.
Wenn sich Benutzer in diesen globalen Gruppe ändern ist dies kein Problem, da diese nicht repliziert werden.
Gruppen verschachteln
Wer sich bereits mit Gruppen und Berechtigungen auseinander gesetzt hat, sollte bereits wissen, dass Gruppen als Mitglieder in einer anderen Gruppe vorhanden sein können.
Welche Gruppen mit anderen Gruppen verschachtelt werden können, erfährt man in diesen Abschnitt.
Lokal (Member)
Die lokale Gruppe (LG)
Mitglieder
- Benutzer lokal,
- Domänenbenutzer,
- Domänengruppe;
Gruppen aus der Domäne können hinzugefügt werden, wenn der Host ein Domänenmitglied ist.
Sichtbar
- Nur lokal auf dem Host sichtbar.
In Active Directory (AC) auf Domänencontroller (DC)
Die globale Gruppe (GG)
Mitglieder
- Benutzer,
- GG derselben Domäne;
Mitglied in
- DLG aller Domänen,
- GG derselben Domäne,
- UG aller Domänen;
Sichtbar
- In einer Gesamtstruktur in allen Domänen.
Die domänenlokale Gruppe (DLG)
Mitglieder
- Benutzer, Clients,
- DLG derselben Domäne,
- GG aus allen Domänen,
- UG aller Domänen;
Mitglied in
- DLG derselben Domäne,
- UG aller Domänen,
Sichtbar
- In einer Gesamtstruktur in allen Domänen.
Die universelle Gruppe (UG)
Mitglieder
- Ohne Einschränkung, Alles
Mitglied in
- DLG aller Domänen,
- UG aller Domänen;
Sichtbar
- Allen Domänen - Global Catalog.