Berechtigungen delegieren und verwalten

Windows-Praxis: Gruppen in Active Directory richtig einsetzen

Bei der Erteilung von Benutzerrechten arbeiten Administratoren am sinnvollsten mit Gruppen. Kommt darüber hinaus Exchange als E-Mail-Server zum Einsatz, heißt es beim Anlegen und Verwalten von Gruppen, besondere Sorgfalt walten zu lassen. Der folgende Praxisbeitrag erläutert die Vorgehensweise detailliert.

Gruppen verwalten Administratoren am schnellsten im Snap-In Active Directory-Benutzer und -Computer. Wählen Sie im Menü Neu die Option Gruppe aus. In Active Directory werden die folgenden Gruppentypen unterschieden:

• Domänenlokal

• Global

• Universal

Neue Gruppe: Beim Anlegen der Gruppe können Sie auch gleich Bereich und Typ festlegen.
Neue Gruppe: Beim Anlegen der Gruppe können Sie auch gleich Bereich und Typ festlegen.

Bevor Sie eine Gruppe anlegen und zur Erteilung von Berechtigungen verwenden, sollten Sie genau planen, welche Gruppe Sie anlegen und wie Sie die Mitgliedschaft steuern wollen. Bei den verschiedenen Gruppen müssen Sie folgende Bereiche unterscheiden:

• Lokale Gruppen setzen Unternehmen für die Zusammenfassung von anderen globalen Gruppen oder in Ausnahmefällen von Benutzern ein, denen sie Zugriffsberechtigungen erteilen wollen. Der Unterschied besteht darin, dass diese Gruppen einheitlich auf allen Windows-Server-2003/2008- und Windows-Server-2008-R2-Mitgliedssystemen der Domäne zu sehen und zu verwenden sind. Der Vorteil ist, dass Sie eine lokale Gruppe nur einmal pro Domäne definieren müssen, nicht mehr pro Server.

• Globale Gruppen sind überall in der Gesamtstruktur sichtbar, also in allen Domänen und Domänenstrukturen, können aber nur Mitglieder aus der eigenen Domäne enthalten. Globale Gruppen können jedoch Mitglied von lokalen und universellen Gruppen sein. Globale Gruppen können Sie zudem verschachteln.

• Ein weiterer Gruppentyp sind die universellen Gruppen. Alle Informationen über Zugehörigkeiten zu universellen Gruppen sind auf den globalen Katalogservern gespeichert. Universelle Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten. Durch die Replikation im globalen Katalog belasten Sie allerdings das Netzwerk und die globalen Katalogserver.

Gruppentypen

Neben den verschiedenen Gruppenbereichen können Sie zwei unterschiedliche Gruppentypen erstellen:

• Sicherheit definiert, dass es sich um eine Gruppe handelt, über die Zugriffsberechtigungen zugeordnet werden sollen. Diese Gruppe kann zusätzlich als E-Mail-Verteilerliste verwendet werden. Der primäre Einsatz ist allerdings als Sicherheitsprinizpal im Active Directory zu finden.

• Verteilung gibt an, dass die Gruppe nur für Verteiler in E-Mail-Programmen verwendet werden kann. Sie kann nicht für die Zuordnung von Zugriffsberechtigungen eingesetzt werden. Setzen Sie Exchange im Netzwerk ein, sollten Sie Verteilergruppen aber besser in der Exchange-Verwaltungskonsole anlegen. Dadurch erhalten die Gruppen auch gleich entsprechende Exchange-Attribute.

Eigenschaften von Gruppen

Die Eigenschaften von Gruppen können Sie nach dem Anlegen genauso bearbeiten wie die Eigenschaften von Benutzerkonten. In den Eigenschaften lassen sich die meisten Einstellungen und auch der Gruppentyp nachträglich anpassen.

Gruppenarbeit: So sieht die Verwaltung der Eigenschaften der Gruppe in Windows Server 2008 R2 aus.
Gruppenarbeit: So sieht die Verwaltung der Eigenschaften der Gruppe in Windows Server 2008 R2 aus.

Neben dem Gruppennamen können Sie eine Beschreibung für die Gruppe eingeben. Auf der Registerkarte Mitglieder nehmen Sie über die Schaltflächen Hinzufügen und Entfernen neue Benutzer in Gruppen auf oder entfernen diese. Sie können Benutzer aber auch in Gruppen aufnehmen, indem Sie in den Eigenschaften der Benutzer die Registerkarte Mitglied von auswählen. Dort sehen Sie auch in den Eigenschaften von Gruppen die Gruppen, in denen diese Gruppe Mitglied ist.

Über die Registerkarte Verwaltet von legen Sie Benutzer, die für eine Gruppe zuständig sind, fest. Gruppen generell zu verwalten und die Mitgliedschaft zu steuern ist daher nicht sehr kompliziert. Interessanter ist die Verwendung von Gruppen, zum Beispiel zur Delegation von bestimmten Rechten.