Windows-Praxis: Gruppen in Active Directory richtig einsetzen

Berechtigungen für Benutzer und Gruppen verwalten

Neben der Delegierung von Rechten ist vor allem die Zuteilung von Benutzerrechten für Freigaben die wichtigste Aufgabe von Gruppen. Hier müssen Administratoren besonders sorgfältig planen und alle Vorzüge der verschiedenen Gruppen nutzen.

Die Vergabe von Zugriffsberechtigungen von Freigaben oder administrativen Rechten sollte immer an Gruppen erfolgen, da der administrative Aufwand hier am geringsten ist. Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, müssen Sie ihn nur der Gruppe zuordnen oder ihn entfernen, wenn er das entsprechende Recht nicht mehr erhalten soll. Die Berechtigungen der Freigabe müssen Sie in diesem Fall nicht anpassen.

Bei der Planung von Berechtigungen sollten Sie daher überlegen, welche Ordnerstrukturen Sie anlegen und welche Gruppen Sie aufnehmen. Die Berechtigungen im Dateisystem speichert Windows in der Zugriffskontrollliste, der ACL (Access Control List). Während der Anmeldung erstellt ein Domänencomputer für den Benutzer ein Zugriffs-Token, das die Security-ID (SID) des Benutzerkontos enthält, sowie die SIDs der Gruppen, in denen der Benutzer Mitglied ist.

Beim Zugriff auf eine Freigabe vergleicht der Server die Einträge des Token mit der ACL und ermittelt daraus die Berechtigung. Dazu addiert Windows die Berechtigungen für jeden übereinstimmenden Eintrag. Ein Benutzer bekommt die Berechtigungen, die seinem Konto zugewiesen sind, sowie alle Berechtigungen, die den Gruppen zugewiesen sind, in denen er Mitglied ist.

Geben Sie einem Benutzerkonto die Berechtigung Lesen, und bekommt zusätzlich eine Gruppe, in der dieser Benutzer Mitglied ist, die Berechtigung Schreiben zugewiesen, ergibt dies die effektiven Berechtigungen Lesen und Schreiben. Um die Berechtigungen zu setzen, wählen Sie in den Eigenschaften des Verzeichnisses oder der Datei die Registerkarte Sicherheit. Zusätzlich ist es möglich, einzelnen Benutzern oder Gruppen Berechtigungen zu verweigern, wobei die Verweigerung immer Vorrang hat.

Beispiel: Auf eine Datei sollen alle Mitarbeiter der Buchhaltung (mit der Mitgliedschaft in der gleich benannten Gruppe) Zugriff erhalten. Eine Ausnahme machen dabei allerdings die Auszubildenden, die ebenfalls Mitglied der Gruppe Buchhaltung sind. Wenn der Gruppe Buchhaltung der Zugriff auf diese Datei erlaubt wird, erhalten auch die Auszubildenden Zugriff, da sie Mitglied der Gruppe sind. Anschließend können Sie der Gruppe Auszubildende den Zugriff verweigern. So erhalten die Auszubildenden zwar den Zugriff durch die Mitgliedschaft in der Gruppe Buchhaltung, doch wird ihnen dieser durch die Mitgliedschaft in der Gruppe Auszubildende verweigert.