syosse
Goto Top

RBAC mit AGDLP Verständnisfrage bei Gruppen

Hallo Zussammenface-smile

Ich bin gerade das Konzept am erstellen für eine neue Infrakstruktur und nutze dazu das RBAC mit AGDLP Prinzip.
Jedoch bin ich aktuell Verwirrt mit den Gruppen. Unten habe ich die Auflistung ausgeführt:

1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Lokale Gruppen auf Domänenebene erstellen, um die Berechtigungen auf Ressourcen festzulegen. Jede lokale Gruppe sollte die entsprechenden globalen Gruppen als Mitglieder enthalten. Dies ermöglicht eine hierarchische Struktur, in der globale Gruppen den Benutzern zugewiesen werden und lokale Gruppen die Berechtigungen auf Ressourcenebene steuern.
Hier verstehe ich nicht wieso es noch eine Lokale Gruppe auf Domäneneben braucht ?
5.) Lokalen Gruppen Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.


Macht das hier nicht mehr sinn:

1.) Rolle Definieren (Aufgabe, Funktion) Bsp: Administration
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.

Edit: Es handelt sich um 20 Benutzer mit 10 Ordner und 1 Domain

Vielen herzlichen Dank
Freundliche Grüsse
Syosse

Content-ID: 7774103812

Url: https://administrator.de/contentid/7774103812

Ausgedruckt am: 19.12.2024 um 13:12 Uhr

emeriks
Lösung emeriks 07.07.2023 aktualisiert um 16:23:20 Uhr
Goto Top
Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !

Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
  • Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
  • Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
  • Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.

Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.

E.
Syosse
Syosse 08.07.2023 um 15:41:28 Uhr
Goto Top
Zitat von @emeriks:

Hi,
in kleinen Umgebungen mit flacher Administration reicht auch A-G-P. In größeren Umgebungen mit delegierter Administration ist A-G-DL-P oftmals besser.
A-G-P ist in jedem Fall besser als A-P !

Mit DL-Gruppen ermöglicht es die Trennung in der Administration.
  • Admin A bildet die verschiedenen Zugriffsrechte für eine Ressource im AD mit DL-Gruppen ab.
  • Admin B gruppiert die Konten ihren Aufgaben entsprechen in Rollen. Aber (in diesem Modell) niemals Admin A. Idealerweise kommen die Rollen als Vorgabe aus der Verwaltungsebene und bilden die Firmenstruktur ab. Der Admin B bildet dann diese vorgegebenen Rollen mit G-Gruppen im AD ab.
  • Admin C oder Admin A ordnet die Rolle den Zugriffsberechtigungen zu, aber (in diesem Modell) niemals Admin B.

Man kann auch statt DL-Gruppen mit L-Gruppen der Server arbeiten. Dann hätte Admin A in der Domäne überhaupt keine Rechte sondern ordnet nur lokal die G-Gruippen aus der Domäne den L-gruppen des Servers zu.

E.

Super herzlichen Dank für den Tipp.

Dann werde ich folgende Strategie verfolgen bzw einsetzen:


1.) Rolle definieren (Aufgabe, Funktion) Bsp: Administration in einer Excel Liste.
2.) Globale Gruppe erstellen , die der Rolle entspricht Bsp: Administration
3.) Die gewünschte Benutzer in die Globale Gruppe Administration zuweisen.
4.) Globale Gruppe Berechtigungen auf Ressourcen zuweisen wie Bsp. Ordner, Files etc.

Da ich sowiso der alleinige Admin bin, werde ich alle Punkte selber durchführen von Rolle definieren bis hin zu Berechtigung für NTFS erteilen.

Vielen Dank
Freundliche Grüsse
Syosse