Sicherheitsmanagement im Active Directory

Weitere Gruppen

Im Container Users finden sich aber auch weitere Gruppen mit administrativen Berechtigungen. Dazu zählen die DHCP-Administratoren und DNSAdmins mit den administrativen Berechtigungen für diese beiden Infrastrukturdienste und die Richtlinien-Ersteller-Besitzer, die Gruppenrichtlinien in einer Domäne modifizieren dürfen. Hier wird schon deutlich, dass durchaus eine Trennung verschiedener administrativer Aufgaben angedacht ist.

Neben dem Container Users gibt es auch noch den Container Builtin mit vordefinierten Gruppen. Hier gibt es Gruppen wie Konten-Operatoren oder Server-Operatoren, die bestimmte administrative Aufgaben übernehmen dürfen. Ursprünglich wurden der Container und die darin enthaltenen Gruppen aus Kompatibilitätsgründen zu Windows-NT-Domänen definiert. Sie können aber auch im Active Directory weiter genutzt werden. So hat die Gruppe der Konten-Operatoren beispielsweise die Berechtigung zur Verwaltung von Benutzer- und Computerkonten, kann aber keine anderen administrativen Aufgaben übernehmen. Statt eigene operative Gruppen zu erstellen, bietet es sich an, mit diesen vordefinierten Gruppen zu arbeiten.

Dass die Gruppen im Container Builtin nicht nur historische Relevanz haben, zeigt sich auch daran, dass es dort spezielle Gruppen für das Active Directory wie die Erstellungen eingehender Gesamtstrukturvertrauensstellung gibt. Damit können so genannte Cross-Forest-Trusts erstellt werden, die erst mit dem Windows Server 2003 eingeführt wurden.

Der Vorteil der Nutzung vordefinierter Gruppen liegt darin, dass man die Sicherheitsadministration mit sehr wenig Aufwand durchführen kann. Statt Berechtigungen anzupassen, muss man nur Benutzer oder bereits vorhandene Gruppen in diese speziellen Sicherheitsgruppen aufnehmen.