Berechtigungen delegieren und verwalten

Windows-Praxis: Gruppen in Active Directory richtig einsetzen

Berechtigungsstrukturen

Microsoft empfiehlt folgende Berechtigungsstrukturen:

• Domänenlokale Gruppe erhält Berechtigung auf Ordner und Freigabe.

• Globale Gruppe(n) wird in lokale Gruppe aufgenommen.

• Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.

• Auf Verzeichnisse im Dateisystem sollten die Administratoren Vollzugriff erhalten. Zusätzlich sollten Sie eine domänenlokale Gruppe anlegen, die eine Berechtigung auf der Verzeichnisebene und auf Freigabeebenen erhält.

Beispiel: So könnte der Aufbau einer Berechtigungsstruktur, basierend auf Gruppen, aussehen.
Beispiel: So könnte der Aufbau einer Berechtigungsstruktur, basierend auf Gruppen, aussehen.

Der Sinn dieses Konzepts liegt darin, dass Sie nicht ständig Berechtigungen für den freigegebenen Ordner ändern müssen, da nur die domänenlokale Gruppe Zugriff erhält. Da die Anwender in globalen Gruppen aufgenommen werden, können die Gruppen auch in andere domänenlokale Gruppen in anderen Domänen des Active Directory aufgenommen werden. Das hat in großen Organisationen den Vorteil, dass Freigaben sehr effizient überall bereitgestellt werden können.

Mitgliedschaften und Änderungen sollten Sie auf ein Minimum reduzieren. Fügen Sie keine einzelnen Benutzer zu den Berechtigungen auf Freigabe- oder Dateiebene hinzu. Zugriffsberechtigungen vergeben Sie im Regelfall pro Verzeichnis einheitlich. Berechtigungen für einzelne Dateien anzupassen ist nur in Ausnahmen sinnvoll und lässt sich oft dadurch umgehen, dass Sie mit eigenen Verzeichnissen für die Dateien arbeiten, bei denen abweichende Berechtigungen notwendig sind. Spezielle Zugriffsberechtigungen für einzelne Dateien stellen immer ein Problem dar, wenn Sie Zugriffsberechtigungen für alle Dateien im Verzeichnis ändern sollen.

Im Beispiel der Abbildung sehen Sie den Sinn dieses Konzepts:

• Domänenlokale Gruppen können zwar globale Gruppen aus der kompletten Gesamtstruktur aufnehmen, aber selbst nicht in anderen Domänen verwendet werden.

• Globale Gruppen können nur Mitglieder aus der eigenen Domäne aufnehmen, haben aber dafür den Vorteil, dass sie überall im Active Directory verwendet werden können.

Die Vertriebsmitarbeiter in Dallas können durch dieses Konzept sowohl auf die Freigabe in Dallas als auch auf die Freigabe in München zugreifen. Wenn neue Mitarbeiter Zugriff erhalten müssen, kann dies durch Aufnahme in die entsprechende globale Gruppe recht schnell erledigt werden. Sie sollten daher mit möglichst wenigen Gruppen und verschiedenen Rechten arbeiten, wenn das nicht notwendig ist.

Die Clients werden zunächst zu einem Server verbunden. Auf diesem Server steht eine Freigabe zur Verfügung. Eine Freigabe definiert, auf welche Verzeichnisse auf den Datenträgern Anwender zugreifen können. Der Client sieht die physischen Festplatten auf den Servern und die dort definierten Verzeichnisstrukturen nicht.

Vielmehr stellt ihm eine Freigabe einen Eintrittspunkt zum Server bereit, von dem aus er die dort definierten Verzeichnisstrukturen durchsuchen kann. Der Benutzer muss nicht wissen, welche Festplatten es auf den Servern gibt und wie diese strukturiert sind, sondern soll nur die Bereiche sehen, die für ihn relevant sind. Für Freigaben können Administratoren Zugriffsberechtigungen definieren. Auch hier ist die Arbeit mit Gruppen der beste Weg. Damit können Sie Freigaben als weitere Ebene der Sicherheit einsetzen, zusätzlich zu den Berechtigungen auf der Ebene des Dateisystems.