RBAC mit AGDLP Verständnisfrage bei Gruppen
Hallo Zussammen
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7774103812
Url: https://administrator.de/contentid/7774103812
Ausgedruckt am: 19.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
- Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
- Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
- Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.