2
RBAC mit AGDLP Verständnisfrage bei Gruppen
Hallo Zussammen
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7774103812
Url: https://administrator.de/contentid/7774103812
Ausgedruckt am: 17.11.2024 um 08:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
- Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
- Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
- Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
Zitat von @emeriks:
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
- Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
- Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
- Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
Super herzlichen Dank für den Tipp.
Dann werde ich folgende Strategie verfolgen bzw einsetzen:
1.) Rolle definieren (Aufgabe, Funktion) Bsp: Administration in einer Excel Liste.
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Da ich sowiso der alleinige Admin bin, werde ich alle Punkte selber durchführen von Rolle definieren bis hin zu Berechtigung für NTFS erteilen.
Vielen Dank
Freundliche Grüsse
Syosse
