Global, DL, Lokale Gruppen
Hallo zusammen!
Wenn ich NTFS Berechtigungen bei einem Ordner setzen will, dann füge ich Accounts in die globale Gruppe.
Diese globale Gruppe füge ich einer domänenlokalen Gruppe hinzu.
An die domänenlokale Gruppe vergebe ich dann die Berechtigungen.
Soweit so gut. Wie ist das nun wenn ich z.B. einen Server habe und ich möchte in die lokale (nicht domänenlokale) Gruppe der Administratoren eine AD Gruppe hinzufügen. Muss diese AD Gruppe eine globale oder eine lokale sein?
Weil unser VOB verwendet dafür globale. Ich denke domänenlokale wären sinnvoller. Aber kann man eine DL Gruppe überhaupt in eine lokale Gruppe stecken? Wer hat Recht?
Vielen Dank
Gruß
Wenn ich NTFS Berechtigungen bei einem Ordner setzen will, dann füge ich Accounts in die globale Gruppe.
Diese globale Gruppe füge ich einer domänenlokalen Gruppe hinzu.
An die domänenlokale Gruppe vergebe ich dann die Berechtigungen.
Soweit so gut. Wie ist das nun wenn ich z.B. einen Server habe und ich möchte in die lokale (nicht domänenlokale) Gruppe der Administratoren eine AD Gruppe hinzufügen. Muss diese AD Gruppe eine globale oder eine lokale sein?
Weil unser VOB verwendet dafür globale. Ich denke domänenlokale wären sinnvoller. Aber kann man eine DL Gruppe überhaupt in eine lokale Gruppe stecken? Wer hat Recht?
Vielen Dank
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 58138
Url: https://administrator.de/forum/global-dl-lokale-gruppen-58138.html
Ausgedruckt am: 24.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Bei der AGDLP Regel kommen die lokalen Gruppen ja nicht vor. Somit ist es völlig egal ob du eine Domain Lokale oder eine Globale Gruppe in die Lokale steckst. An deiner Stelle würde ich mal schauen, ob ich die Active Directory Gruppe, dann auch noch an anderen Stellen benötige und da darauf achten ob sie Global oder Domain Lokal sein muss/sollte.
Bei deinem Beispiel kannst du es auch anders sehen, z. B. könntes du es so sehen, dass die Permission auf deine Lokale Gruppe angewendet wird. Somit könnte bei der AGDLP Regel die DL deine lokale sein.
Ich habe nun auch in meinem Kursbuch von Microsoft nachgeschaut, dort werden folgende Strategien für das verwenden von Gruppen aufgelistet:
A G P
A DL P
A G DL P
A G U DL P
A G L P
Somit würde ich auch letzteres voschlagen, wobei auch die zweite Variante gehen würde.
Bei deinem Beispiel kannst du es auch anders sehen, z. B. könntes du es so sehen, dass die Permission auf deine Lokale Gruppe angewendet wird. Somit könnte bei der AGDLP Regel die DL deine lokale sein.
Ich habe nun auch in meinem Kursbuch von Microsoft nachgeschaut, dort werden folgende Strategien für das verwenden von Gruppen aufgelistet:
A G P
A DL P
A G DL P
A G U DL P
A G L P
Somit würde ich auch letzteres voschlagen, wobei auch die zweite Variante gehen würde.
Was nutzt Ihr eigentlich als Namen für die Domänenlokalen Zugriffsgruppen ? Ich überlege ob es ein Problem gibt wenn ein Freigabename mehrmals auf verschiedenen Servern existiert.
bsp: marketing_rwm = DL Gruppe für die Freigabe marketing mit den Rechten read,write modify
Sollte man evtl. auch den Servernamen einfließen lassen falls es auch eine marketingfreigabe in der gleichen domäne gibt ? Andererseits, servernamen wechseln auch. Wie macht Ihr das so ?
bsp: marketing_rwm = DL Gruppe für die Freigabe marketing mit den Rechten read,write modify
Sollte man evtl. auch den Servernamen einfließen lassen falls es auch eine marketingfreigabe in der gleichen domäne gibt ? Andererseits, servernamen wechseln auch. Wie macht Ihr das so ?
Genau das Bedenken habe ich auch. Wenn das Share morgen auf nem anderen Fileserver liegt ist die Theorie dahin. Ich frage mich halt, wenn man eine Domäne hat und zwei Firmenstandorte, dann darf es halt nur eindeutige share-namen geben. Ob mich das evtl. mal einschränkt ?
Die frage wäre halt: Kann es vorkommen, dass an einem Standort mehrere Shares mit gleichen freigabenamen existieren könnten ?
Bsp. \\server1\public
\\server2\public
Andererseits, warum 2x gleicher Freigabename ? wenn man sofort zentrale Speicherorte nutzt und nicht wild im Netzwerk verteilt, sollte es evtl. nicht passieren.......
Die frage wäre halt: Kann es vorkommen, dass an einem Standort mehrere Shares mit gleichen freigabenamen existieren könnten ?
Bsp. \\server1\public
\\server2\public
Andererseits, warum 2x gleicher Freigabename ? wenn man sofort zentrale Speicherorte nutzt und nicht wild im Netzwerk verteilt, sollte es evtl. nicht passieren.......
Genau, wenn es ein Marketing gibt und zwei Standorte, dann würde es orga-mäßig wohl nur Sinn machen, dass es ein Marketing-share gibt.
Es ist also eher eine orga-frage als eine technische frage.
Ich werde dann einer Gruppe ein ISO-Länderkürzel vorsetzen um es wenigstens international zu trennen. National muß dann in einmalig vorkommenden shares gearbeitet werden. Macht langfristig dann doch wohl eher Sinn.
Also Dir fällt aus der Praxis auch kein Beispiel ein, wo in einem Unternehmen gleichnamigige Shares Sinn machen würden auf verschiedenen Servern ?
Es ist also eher eine orga-frage als eine technische frage.
Ich werde dann einer Gruppe ein ISO-Länderkürzel vorsetzen um es wenigstens international zu trennen. National muß dann in einmalig vorkommenden shares gearbeitet werden. Macht langfristig dann doch wohl eher Sinn.
Also Dir fällt aus der Praxis auch kein Beispiel ein, wo in einem Unternehmen gleichnamigige Shares Sinn machen würden auf verschiedenen Servern ?
Mir fällt noch ein:
Ist Quatsch, dass ich von shares rede. Es dürfte dann in der Domäne nur einen Ordner mit gleichem Namen geben
Nochmal, da ich jetzt viel geschrieben habe:
_____________________________________________
Pfad:
\\server\freigabe\marketing
_____________________________________________
Berechtigungsgruppe für Marketing (domänenlokal):
marketing_rwm
und
marketing_r
_____________________________________________
Also das Bedenken wäre ob es so Sinn macht, weil wenn es dann nirgendwo noch einen Ordner Marketing geben soll zu dem eine Zugriffsgruppe gemacht werden muß, dann muß die Zugriffsgruppe ja wieder anders heißen.
Naja, schwer zu schreiben, ich denke vielleicht über mögliche Probleme nach, die etwas unrealistisch sind
Ist Quatsch, dass ich von shares rede. Es dürfte dann in der Domäne nur einen Ordner mit gleichem Namen geben
Nochmal, da ich jetzt viel geschrieben habe:
_____________________________________________
Pfad:
\\server\freigabe\marketing
_____________________________________________
Berechtigungsgruppe für Marketing (domänenlokal):
marketing_rwm
und
marketing_r
_____________________________________________
Also das Bedenken wäre ob es so Sinn macht, weil wenn es dann nirgendwo noch einen Ordner Marketing geben soll zu dem eine Zugriffsgruppe gemacht werden muß, dann muß die Zugriffsgruppe ja wieder anders heißen.
Naja, schwer zu schreiben, ich denke vielleicht über mögliche Probleme nach, die etwas unrealistisch sind