Gruppen verwalten Administratoren am schnellsten im Snap-In Active Directory-Benutzer und -Computer. Wählen Sie im Menü Neu die Option Gruppe aus. In Active Directory werden die folgenden Gruppentypen unterschieden:
• Domänenlokal
• Global
• Universal
Bevor Sie eine Gruppe anlegen und zur Erteilung von Berechtigungen verwenden, sollten Sie genau planen, welche Gruppe Sie anlegen und wie Sie die Mitgliedschaft steuern wollen. Bei den verschiedenen Gruppen müssen Sie folgende Bereiche unterscheiden:
• Lokale Gruppen setzen Unternehmen für die Zusammenfassung von anderen globalen Gruppen oder in Ausnahmefällen von Benutzern ein, denen sie Zugriffsberechtigungen erteilen wollen. Der Unterschied besteht darin, dass diese Gruppen einheitlich auf allen Windows-Server-2003/2008- und Windows-Server-2008-R2-Mitgliedssystemen der Domäne zu sehen und zu verwenden sind. Der Vorteil ist, dass Sie eine lokale Gruppe nur einmal pro Domäne definieren müssen, nicht mehr pro Server.
• Globale Gruppen sind überall in der Gesamtstruktur sichtbar, also in allen Domänen und Domänenstrukturen, können aber nur Mitglieder aus der eigenen Domäne enthalten. Globale Gruppen können jedoch Mitglied von lokalen und universellen Gruppen sein. Globale Gruppen können Sie zudem verschachteln.
• Ein weiterer Gruppentyp sind die universellen Gruppen. Alle Informationen über Zugehörigkeiten zu universellen Gruppen sind auf den globalen Katalogservern gespeichert. Universelle Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten. Durch die Replikation im globalen Katalog belasten Sie allerdings das Netzwerk und die globalen Katalogserver.
Gruppentypen
Neben den verschiedenen Gruppenbereichen können Sie zwei unterschiedliche Gruppentypen erstellen:
• Sicherheit definiert, dass es sich um eine Gruppe handelt, über die Zugriffsberechtigungen zugeordnet werden sollen. Diese Gruppe kann zusätzlich als E-Mail-Verteilerliste verwendet werden. Der primäre Einsatz ist allerdings als Sicherheitsprinizpal im Active Directory zu finden.
• Verteilung gibt an, dass die Gruppe nur für Verteiler in E-Mail-Programmen verwendet werden kann. Sie kann nicht für die Zuordnung von Zugriffsberechtigungen eingesetzt werden. Setzen Sie Exchange im Netzwerk ein, sollten Sie Verteilergruppen aber besser in der Exchange-Verwaltungskonsole anlegen. Dadurch erhalten die Gruppen auch gleich entsprechende Exchange-Attribute.
Eigenschaften von Gruppen
Die Eigenschaften von Gruppen können Sie nach dem Anlegen genauso bearbeiten wie die Eigenschaften von Benutzerkonten. In den Eigenschaften lassen sich die meisten Einstellungen und auch der Gruppentyp nachträglich anpassen.
Neben dem Gruppennamen können Sie eine Beschreibung für die Gruppe eingeben. Auf der Registerkarte Mitglieder nehmen Sie über die Schaltflächen Hinzufügen und Entfernen neue Benutzer in Gruppen auf oder entfernen diese. Sie können Benutzer aber auch in Gruppen aufnehmen, indem Sie in den Eigenschaften der Benutzer die Registerkarte Mitglied von auswählen. Dort sehen Sie auch in den Eigenschaften von Gruppen die Gruppen, in denen diese Gruppe Mitglied ist.
Über die Registerkarte Verwaltet von legen Sie Benutzer, die für eine Gruppe zuständig sind, fest. Gruppen generell zu verwalten und die Mitgliedschaft zu steuern ist daher nicht sehr kompliziert. Interessanter ist die Verwendung von Gruppen, zum Beispiel zur Delegation von bestimmten Rechten.
Szenario: Delegierung zur administrativen Verwaltung einer Organisationseinheit
Ein gutes Praxisbeispiel für das Delegieren von Benutzerrechten im Active Directory ist das Zurücksetzen von Kennwörtern, die zum Beispiel Support-Mitarbeiter erhalten sollen. Wenn Anwender ihr Kennwort vergessen oder ein neues Kennwort zugewiesen bekommen, sollte das nicht die Aufgabe der Systemadministratoren sein.
In diesem Fall könnte zum Beispiel der Abteilungsleiter oder ein Power-User diese Aufgaben übernehmen. Es besteht außerdem die Möglichkeit, an eine bestimmte Gruppe genau diese Rechte für seine OU zu delegieren:
1. Legen Sie zunächst eine globale oder universelle Benutzergruppe an, die die Rechte der Delegierung erhalten soll. Auch wenn die Gruppe zunächst keinen Benutzer enthält, sollten Sie in den Berechtigungen des Active Directory niemals nur einzelne Konten eintragen, da ansonsten die Berechtigungsstruktur sehr kompliziert wird. Außerdem müssen Sie bei jeder Änderungen dann direkt Änderungen am System vornehmen, anstatt nur Benutzer der Gruppe hinzuzufügen oder sie aus der Gruppe zu entfernen.
2. Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü den Befehl Objektverwaltung zuweisen aus.
3. Fügen Sie im Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen. Welche Rechte die Gruppe erhält, wählen Sie erst später aus.
4. Aktivieren Sie im nächsten Fenster als zuzuweisende Aufgabe zum Beispiel das Recht Erstellt, entfernt und verwaltet Benutzerkonten. Wenn Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter geben wollen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung verwenden. Möchten Sie speziellere Rechte erteilen, aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen.
Delegierung abschließen
Beenden Sie den Assistenten, um die Delegierung abzuschließen. Anschließend erhalten alle Mitglieder, die Sie in die Gruppe aufnehmen, die entsprechenden Rechte. Wenn Sie ein Benutzerkonto aus der Gruppe entfernen, verliert es diese Rechte. Bei der Änderung von Gruppenmitgliedschaften muss sich der entsprechende Benutzer in den meisten Fällen neu anmelden, bevor er die seine Rechte erhält.
Die entsprechenden Rechte für diese Gruppe finden Sie, indem Sie zunächst im Snap-In-Active-Directory-Benutzer- und -Computer über den Menübefehl Ansicht/Erweiterte Features die erweiterten Ansichtsfunktionen aktivieren. Wenn Sie danach die Eigenschaften der OU oder der Domäne aufrufen und die Registerkarte Sicherheit öffnen, sehen Sie die delegierten Rechte. Klicken Sie hier auf Erweitert, finden Sie im folgenden Fenster auf der Registerkarte Berechtigungen die genauen Rechte der Gruppe aufgelistet, die Sie delegiert haben. Wenn Sie die Delegierung wieder rückgängig machen wollen, müssen Sie einfach an dieser Stelle die Rechte der Gruppe wieder entfernen.
Nachdem die Gruppe die entsprechenden Rechte zur Verwaltung dieser OU bekommen hat und Sie die Benutzer in die Gruppe aufgenommen haben, sollten Sie den entsprechenden Benutzern noch ein Administrationsprogramm zur Verfügung stellen, über das sie die OU verwalten können.
Entweder arbeiten die Anwender dazu über den Remote Desktop auf einem Server, oder Sie müssen die Remote Server Administration Tools (RSAT) installieren.
Berechtigungen für Benutzer und Gruppen verwalten
Neben der Delegierung von Rechten ist vor allem die Zuteilung von Benutzerrechten für Freigaben die wichtigste Aufgabe von Gruppen. Hier müssen Administratoren besonders sorgfältig planen und alle Vorzüge der verschiedenen Gruppen nutzen.
Die Vergabe von Zugriffsberechtigungen von Freigaben oder administrativen Rechten sollte immer an Gruppen erfolgen, da der administrative Aufwand hier am geringsten ist. Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, müssen Sie ihn nur der Gruppe zuordnen oder ihn entfernen, wenn er das entsprechende Recht nicht mehr erhalten soll. Die Berechtigungen der Freigabe müssen Sie in diesem Fall nicht anpassen.
Bei der Planung von Berechtigungen sollten Sie daher überlegen, welche Ordnerstrukturen Sie anlegen und welche Gruppen Sie aufnehmen. Die Berechtigungen im Dateisystem speichert Windows in der Zugriffskontrollliste, der ACL (Access Control List). Während der Anmeldung erstellt ein Domänencomputer für den Benutzer ein Zugriffs-Token, das die Security-ID (SID) des Benutzerkontos enthält, sowie die SIDs der Gruppen, in denen der Benutzer Mitglied ist.
Beim Zugriff auf eine Freigabe vergleicht der Server die Einträge des Token mit der ACL und ermittelt daraus die Berechtigung. Dazu addiert Windows die Berechtigungen für jeden übereinstimmenden Eintrag. Ein Benutzer bekommt die Berechtigungen, die seinem Konto zugewiesen sind, sowie alle Berechtigungen, die den Gruppen zugewiesen sind, in denen er Mitglied ist.
Geben Sie einem Benutzerkonto die Berechtigung Lesen, und bekommt zusätzlich eine Gruppe, in der dieser Benutzer Mitglied ist, die Berechtigung Schreiben zugewiesen, ergibt dies die effektiven Berechtigungen Lesen und Schreiben. Um die Berechtigungen zu setzen, wählen Sie in den Eigenschaften des Verzeichnisses oder der Datei die Registerkarte Sicherheit. Zusätzlich ist es möglich, einzelnen Benutzern oder Gruppen Berechtigungen zu verweigern, wobei die Verweigerung immer Vorrang hat.
Beispiel: Auf eine Datei sollen alle Mitarbeiter der Buchhaltung (mit der Mitgliedschaft in der gleich benannten Gruppe) Zugriff erhalten. Eine Ausnahme machen dabei allerdings die Auszubildenden, die ebenfalls Mitglied der Gruppe Buchhaltung sind. Wenn der Gruppe Buchhaltung der Zugriff auf diese Datei erlaubt wird, erhalten auch die Auszubildenden Zugriff, da sie Mitglied der Gruppe sind. Anschließend können Sie der Gruppe Auszubildende den Zugriff verweigern. So erhalten die Auszubildenden zwar den Zugriff durch die Mitgliedschaft in der Gruppe Buchhaltung, doch wird ihnen dieser durch die Mitgliedschaft in der Gruppe Auszubildende verweigert.
Berechtigungsstrukturen
Microsoft empfiehlt folgende Berechtigungsstrukturen:
• Domänenlokale Gruppe erhält Berechtigung auf Ordner und Freigabe.
• Globale Gruppe(n) wird in lokale Gruppe aufgenommen.
• Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.
• Auf Verzeichnisse im Dateisystem sollten die Administratoren Vollzugriff erhalten. Zusätzlich sollten Sie eine domänenlokale Gruppe anlegen, die eine Berechtigung auf der Verzeichnisebene und auf Freigabeebenen erhält.
Der Sinn dieses Konzepts liegt darin, dass Sie nicht ständig Berechtigungen für den freigegebenen Ordner ändern müssen, da nur die domänenlokale Gruppe Zugriff erhält. Da die Anwender in globalen Gruppen aufgenommen werden, können die Gruppen auch in andere domänenlokale Gruppen in anderen Domänen des Active Directory aufgenommen werden. Das hat in großen Organisationen den Vorteil, dass Freigaben sehr effizient überall bereitgestellt werden können.
Mitgliedschaften und Änderungen sollten Sie auf ein Minimum reduzieren. Fügen Sie keine einzelnen Benutzer zu den Berechtigungen auf Freigabe- oder Dateiebene hinzu. Zugriffsberechtigungen vergeben Sie im Regelfall pro Verzeichnis einheitlich. Berechtigungen für einzelne Dateien anzupassen ist nur in Ausnahmen sinnvoll und lässt sich oft dadurch umgehen, dass Sie mit eigenen Verzeichnissen für die Dateien arbeiten, bei denen abweichende Berechtigungen notwendig sind. Spezielle Zugriffsberechtigungen für einzelne Dateien stellen immer ein Problem dar, wenn Sie Zugriffsberechtigungen für alle Dateien im Verzeichnis ändern sollen.
Im Beispiel der Abbildung sehen Sie den Sinn dieses Konzepts:
• Domänenlokale Gruppen können zwar globale Gruppen aus der kompletten Gesamtstruktur aufnehmen, aber selbst nicht in anderen Domänen verwendet werden.
• Globale Gruppen können nur Mitglieder aus der eigenen Domäne aufnehmen, haben aber dafür den Vorteil, dass sie überall im Active Directory verwendet werden können.
Die Vertriebsmitarbeiter in Dallas können durch dieses Konzept sowohl auf die Freigabe in Dallas als auch auf die Freigabe in München zugreifen. Wenn neue Mitarbeiter Zugriff erhalten müssen, kann dies durch Aufnahme in die entsprechende globale Gruppe recht schnell erledigt werden. Sie sollten daher mit möglichst wenigen Gruppen und verschiedenen Rechten arbeiten, wenn das nicht notwendig ist.
Die Clients werden zunächst zu einem Server verbunden. Auf diesem Server steht eine Freigabe zur Verfügung. Eine Freigabe definiert, auf welche Verzeichnisse auf den Datenträgern Anwender zugreifen können. Der Client sieht die physischen Festplatten auf den Servern und die dort definierten Verzeichnisstrukturen nicht.
Vielmehr stellt ihm eine Freigabe einen Eintrittspunkt zum Server bereit, von dem aus er die dort definierten Verzeichnisstrukturen durchsuchen kann. Der Benutzer muss nicht wissen, welche Festplatten es auf den Servern gibt und wie diese strukturiert sind, sondern soll nur die Bereiche sehen, die für ihn relevant sind. Für Freigaben können Administratoren Zugriffsberechtigungen definieren. Auch hier ist die Arbeit mit Gruppen der beste Weg. Damit können Sie Freigaben als weitere Ebene der Sicherheit einsetzen, zusätzlich zu den Berechtigungen auf der Ebene des Dateisystems.
Gruppen mit Exchange betreiben
Da Exchange kein eigenes Verzeichnis hat, sondern das Active Directory nutzt, gibt es in Exchange auch keine eigenen Verteilerlisten. Exchange nutzt die Gruppen des Active Directorys, erweitert diese aber mit eigenen Attributen.
Außer normalen Gruppen verwendet Exchange Server 2007/2010 auch dynamische (abfragebasierten) Verteilergruppen. Diese Gruppen erstellt Exchange durch dynamische LDAP-Abfragen an das Active Directory, um die Gruppenmitglieder zu bestimmen. Sie können mit den dynamischen Gruppen die Mitgliedschaft einzelner Benutzer anhand deren Eigenschaften steuern und müssen diese nicht statisch einer Gruppe zuordnen. Diese Art von Gruppe ist daher extrem flexibel.
Gruppen sind Container, die alle anderen Empfängerobjekte enthalten können, postfachaktivierte oder E-Mail-(aktivierte-)Benutzer, öffentliche Ordner, Kontakte oder andere Gruppen. Eine E-Mail, die an eine Gruppe geschickt wird, stellt Exchange allen Mitgliedern dieser Gruppe zu. Legen Sie eine neue Gruppe an, wird diese im Adressbuch alphabetisch zwischen den anderen Empfängerobjekten angeordnet. Bei einer großen Anzahl von Gruppen ist es sinnvoll, diese zusammengefasst anzuzeigen. In der Praxis hat es sich bewährt, einen Punkt (.) vor den Namen der Gruppe zu stellen und so zum Beispiel die Bezeichnung der Gruppe Einkaufsabteilung als .Einkaufsabteilung darzustellen. Der Punkt fällt nicht weiter auf, und es werden alle Gruppen direkt hintereinander alphabetisch vor den Empfängern einsortiert.
Verteilergruppen legen Sie in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Verteilergruppe an. Um eine neue Verteilergruppe anzulegen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich oder wählen den entsprechenden Befehl im Aktionsbereich aus. Im Anschluss startet der Assistent zum Erstellen neuer Verteilergruppen. Sie können neue Gruppen erstellen oder bereits vorhandene Gruppen aus dem Active Directory E-Mail aktivieren. E-Mail-aktivierte Gruppen können Sie aber weiterhin als Sicherheitsprinzipal für Verzeichnisse und Freigaben verwenden.
Auf der nächsten Seite des Assistenten wählen Sie den Gruppentyp sowie den Namen der Gruppe aus. Windows unterscheidet dabei zwischen E-Mail-aktivierten Sicherheitsgruppen und Verteilergruppen. Im E-Mail-Empfang unterscheiden sich beide Gruppen nicht. E-Mail-aktivierte Sicherheitsgruppen können jedoch außer als Verteilerliste auch zum Definieren von Zugriffsrechten (zum Beispiel im NTFS-Dateisystem) verwendet werden.
Sie können durch das Anlegen von E-Mail-aktivierten Sicherheitsgruppen die Anzahl Ihrer Gruppen stark einschränken. Verteilergruppen können, wie der Name schon sagt, nur als Verteilergruppe verwendet werden. Im Anschluss können Sie die Erstellung der Gruppe abschließen, genauso wie die Erstellung eines neuen Benutzerpostfachs. Auch hier erhalten Sie wieder entsprechende Informationen über den Befehl in der Exchange-Verwaltungs-Shell, mit dem Sie die Gruppe hätten anlegen können. Im Anschluss wird die Gruppe erstellt, und Sie können deren Eigenschaften in der Exchange-Verwaltungskonsole aufrufen. (mje)