Sicherheitsmanagement im Active Directory
Vordefinierte Gruppen
Die meisten vordefinierten Gruppen mit administrativen Berechtigungen finden sich im Container Users. In einer Forest-Root-Domäne – also der ersten in einem Forest eingerichteten Domäne – gibt es zunächst drei besonders wichtige administrative Gruppen:
-
Die Gruppe Domänen-Admins hat administrative Berechtigungen für die aktuelle Domäne, aber nicht für andere Domänen im Forest. Mitglieder dieser Domäne haben volle Zugriffsberechtigungen und können beispielsweise Benutzer- und Computerobjekte in einer Domäne anlegen.
-
Die Gruppe Organisations-Admins wird für die Administration der Forest-Struktur benötigt. Die Mitglieder dieser Gruppe dürfen beispielsweise neue Domänen in einem Forest anlegen.
-
Die Gruppe Schema-Admins hat die Berechtigung zur Änderung des Schemas, also der Datenstruktur des Active Directory.
Grundsätzlich gilt, dass man bei allen Gruppen sehr restriktiv bezüglich der Zuordnung von Benutzern sein sollte, da die Gruppen standardmäßig umfassende Zugriffsrechte besitzen.