RBAC mit AGDLP Verständnisfrage bei Gruppen
Hallo Zussammen
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Macht das hier nicht mehr sinn:
1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.
Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain
Vielen herzlichen Dank
Freundliche Grüsse
Syosse
Please also mark the comments that contributed to the solution of the article
Content-ID: 7774103812
Url: https://administrator.de/contentid/7774103812
Printed on: August 31, 2024 at 22:08 o'clock
2 Comments
Latest comment
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !
Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
- Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
- Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
- Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.
Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.
E.