Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Spezielle Anforderungen

Es gibt eine Reihe spezieller Anforderungen, die im Active Directory für eine effiziente Umsetzung von Gruppenrichtlinien abgebildet werden sollten.

Das bereits erwähnte Beispiel ist die organisatorische Einheit Domain Controllers. In ihr werden die Informationen zu Domänencontrollern abgelegt. Im Standardfall finden sich dagegen alle anderen Computerkonten im Container Computers, während die Benutzer in Users angelegt werden. Für kleine, einfache Netzwerke ist das eventuell ausreichend, für mittlere und größere Umgebungen aber auf keinen Fall.

Daher muss man sowohl für Computer als auch für Benutzer noch einige Anpassungen vornehmen. Bei den Computern geht es dabei vor allem um die nachfolgenden Gruppen von Systemen:

  • Server, die nicht Domänencontroller sind. Die Computerobjekte für diese sollten in eigenständigen Containern angelegt werden. Je nach Zahl und Art der Server wird man dabei entweder mit nur einem solchen Container arbeiten oder unterhalb eines Containers Servers weitere Container für die verschiedenen Gruppen von Servern anlegen. Mit diesem Ansatz lässt sich eine Richtlinie Server Policy für alle Server anlegen. In den untergeordneten Containern werden nur noch Anpassungen für spezielle Anforderungen der einzelnen Gruppen von Servern vorgenommen.

  • Rechner von Administratoren und Operatoren sollten auch gesondert behandelt werden. Dort sind restriktive Einschränkungen in der Regel nicht wünschenswert. Da es – wie weiter unten erläutert wird – ohnehin erforderlich ist, für die entsprechenden Benutzer eine eigene organisatorische Einheit anzulegen, sollten die Computerkonten der von Administratoren und Operatoren genutzten Rechner in derselben OU angelegt werden. Gleiches gilt für Testsysteme, soweit diese Teil des Forests sind und nicht in einer gesonderten Active Directory-Infrastruktur betrieben werden.

  • Systeme in Schulungsräumen und andere Rechnergruppen mit sehr speziellen Anforderungen wie beispielsweise Kiosk-Systeme sollten ebenfalls in eigenen organisatorischen Einheiten abgelegt werden.

  • Schließlich stellt sich noch die Frage, ob weitere Unterscheidungen beispielsweise für Notebooks vorgenommen werden müssen. Da es vergleichsweise wenige Einstellungen gibt, die sich bei solchen Systemen unterscheiden, dürfte das in den meisten Fällen nicht erforderlich sein. Zudem ist die Nutzung von Notebooks oft auf bestimmte Bereiche des Unternehmens wie den Vertrieb beschränkt, so dass man die entsprechenden Anpassungen für diese organisatorischen Einheiten oder sogar Domänen – je nach Strukturierung des Active Directory – vornehmen kann. Falls das nicht geht und solche Einschränkungen erforderlich sind, muss man über die Sicherheitsfilterung arbeiten.

Neben den Computern gibt es auch Benutzer mit speziellen Anforderungen. Auch hier finden sich einige typische Fälle, die spezielle Strukturen im Active Directory erforderlich machen:

  • Die wichtigsten sind Administratoren und Operatoren. Gerade in den Fällen, in denen die ystemsteuerung und andere Funktionsbereiche für „normale“ Benutzer stark eingeschränkt werden, muss für Administratoren und Operatoren mehr Handlungsspielraum sichergestellt werden. Zu diesem Zweck sollten, wie oben schon kurz angerissen, in oder mehrere organisatorische Einheiten definiert werden. Das ergibt sich allerdings schon fast automatisch, wenn man das Active Directory entsprechend der Aufbauorganisation strukturiert.

  • Ebenfalls wichtig sind Benutzer in den Fachbereichen, die etwas höhere Berechtigungen benötigen, weil sie einzelne operative Aufgaben wie das Druckermanagement oder das Zurücksetzen von Kennwörtern übernehmen und dafür mehr Berechtigungen benötigen als andere Benutzer.

  • Ein anderes Beispiel sind spezielle Benutzergruppen wie Softwareentwickler und die von ihnen verwendeten Geräte. Soweit man deren Anforderung nach mehr Zugriffsrechten auf den Entwicklungssystemen, als „normalen“ Benutzern gewährt werden, nicht über die organisatorischen Einheiten abfangen kann, muss man ebenfalls mit der Sicherheitsfilterung arbeiten. In den meisten Fällen sollte man hier aber über die Erstellung geeigneter organisatorischer Einheiten eine ausreichende Differenzierung schaffen können.

Die Anzahl spezieller Strukturen hält sich letztlich in Grenzen. Man muss aber in jedem Fall überprüfen, ob die Strukturen des Active Directory den Anforderungen, die sich durch den Wunsch nach einer effizienten Nutzung von Gruppenrichtlinien ergeben, noch angepasst werden müssen.