Gruppen unter win2003
Bei der einrichtung von Gruppen unterscheidet man in Gruppenbereichen ,Gruppentypen und der Domänefunktionsebene
Als erstes ist es wichtig zu wissen welche Funktionsebene die Domäne besitzt
Funktionsebenen
Windows 2000 gemischt
Ist die Standard Domänenfunktionsebene. Sie Arbeitet mit Windows Server 2003,Windows 2000 und Windows NT 4.0 Servern. Die NT 4.0 Server erkennen hierbei jedoch nicht den Universellen Gruppenbereich oder die Verschachtelungen von Gruppen mit dem selben bereich. Ebenfalls können Mitgliedsserver in einer Domäne mit diesem Modus nicht Lokale Gruppen der Domäne für das zuweisen von berechtigungen sowie die Mitgliedschaft der lokalen gruppen verwenden. Das heißt auf einem Mitgliedserver der diese Domäne anwählt erscheinen nur Globale und wen es kein nt 4.0 ist Universelle.Gruppen können nicht Geändert werden, wenn als Domänenfunktionsebene Windows 2000 im gemischten Modus festgelegt ist.
Windows 2000 pur
Unterstützt auf den Mitgliedsserver Lokale Gruppen der Domäne fur die Zuweisung von Berechtigungen. Allerdings können keine Windows NT4 BDCs server mehr betrieben werden. Die Herunterstufung der Domaenenfunktionsebene ist nicht möglich. Die gute Nachricht ist aber das die Domänenfunktionsebene nur in der Domäne und nicht in der Gesamtstruktur gilt.
Windows 2003
Stellt noch zahlreiche weitere funktionen zur verfügung kann aber allerdings erst verwendet werden wen alle Domänencontroller der Domäne mit Windows server 2003 ausgestattet sind.
Als nächstes muss man überlegen in welchen Gruppentyp man die gruppe anlegt
Verteiler- und Sicherheitsgruppen:
Verteilergruppen:
Sie dienen fuer die Verteilung von Emails (Exchange ab Version 2000). Auf Verteilergruppen koennen keine Zugriffsrechte gesetzt werden.
Sicherheitsgruppen:
Auf Sicherheitsgruppen koennen Ressourcen-Zugriffsrechte gesetzt werden. Sicherheitsgruppen sind Lokale (Builtin), Globale, Universelle und domaenenlokale Gruppen.
Als nächstes die Gruppe die man anlegen möchte
Gruppenbereiche
Gruppen erleichtern die Zuweisung von Rechten in einem Netzwerk
Es gibt drei Arten von Gruppen
Domänenlokale Gruppen
Enthalten Mitglieder aus allen Domänen der Gesamtstruktur (UG)
Erlauben Zugriff auf Ressourcen innerhalb einer Domäne.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert. (GG ) -----------------------------------------------------------------------------
Globale Gruppen
Enthalten Mitglieder aus derselben Domäne
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.(UG)
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert (DG)
Der Gruppenname wird im globalen Katalog repliziert.
Globale Gruppen werden im globalen Katalog angezeigt.
Universale Gruppen
-Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.(DG)
-Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur. (GG)
-Mitgliedschaften werden im globalen Katalog in der Gesamtstruktur repliziert.
Mitgliedschaften und Änderungen sollten deshalb auf ein Minimum reduziert werden. Es sollten keine einzelnen Benutzer zugefügt werden.
-Universale Gruppen stehen nur im einheitlichen Modus zur Verfügung.
lokalen Domänengruppen
Wichtig Hierbei ist das diese Gruppe nicht mit den lokalen gruppen verwechselt werden. Domänenlokale Gruppen sind unter Active Directory neu eingeführt worden, um die Berechtigungsvergabe zu vereinfachen und sicherer zu machen. Befindet sich die lokale Domänengruppe im Gruppentyp Sicherheitsgruppe kann sie nur berechtigungen zu ressourcen sowie Benutzerrechte zuweisen, die sich in der selben Domäne wie die lokale Domänengruppe der Domäne befindet (Siehe oben) Lokale Gruppen mussen erst mehrere berechtigungen entzogen werden da sie für den Computer gelten auf dem sie sich befinden und nicht ausschließlich für die Domäne gelten. Deshalb wird nur die Gruppe der Admins meistens den Lokalen Gruppen zugeordnet.
Um z. B. fünf Benutzern den Zugriff auf einen bestimmten Drucker zu gewähren, nehmen Sie alle fünf Benutzerkonten in die Liste der Druckerberechtigungen auf. Wenn Sie diesen fünf Benutzern später Zugriff auf einen neuen Drucker erteilen möchten, müssten Sie die fünf Konten dann erneut in die Berechtigungsliste des neuen Druckers eintragen.
Diese Routineaufgabe lässt sich mit einem geringen Planungsaufwand vereinfachen, indem Sie eine Gruppe mit dem Bereich "Lokale Domäne" (dies ist keine Lokale Gruppe im ursprünglichen Sinn sondern wird in AD gespeichert) einrichten und dieser Gruppe eine Berechtigung für den Druckerzugriff zuordnen. Fassen Sie die fünf Benutzerkonten in einer Gruppe mit dem Bereich "Global" zusammen, und fügen Sie diese Gruppe der Gruppe mit dem Bereich "Lokale Domäne" hinzu. Wenn Sie den fünf Benutzern jetzt den Zugriff auf einen neuen Drucker gewähren möchten, ordnen Sie der Gruppe mit dem Bereich "Lokale Domäne" eine Zugriffsberechtigung für den neuen Drucker zu. Auf diese Weise können alle Mitglieder der Gruppe mit dem Bereich "Lokale Domäne" automatisch auf den neuen Drucker zugreifen. Lokale Domänengruppen erleichtern also das Verwalten von Zugriffsrechten werden aber meistens Kombiniert mit Globalen sicherlich wird sich jetzt bei dem einem oder anderen die Frage stellen warum man nun noch extra globale gruppen verwendet werden nun um es einfach auszudrücken Damit man eine bessere struktur erhält in unserem Beispiel wo wir eine Druckerfreigabe erteilen würden wir die globale Gruppe den namen Drucker 1 geben Damit können wir jederzeit dieser Domäne den drucker wieder entziehen sowie auch einzelnen Benutzern diese Freigabe in der Domäne ohne lange zu suchen entziehen.
Microsoft nennt dieses System:AGDLP
Accounts Global Domain-Local Permissions
Globale gruppen
Die globale Gruppe kann Domänengrenzen überschreiten. Sie dienen dazu, Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zusammenzufassen.Globale gruppen dienen also zur Verschachtelung von Gruppen um die Weitergabe von Berechtigungen steuern zu können. Die Mitgliedschaft an globalen Gruppen ist allerdings auf Objekte beschränkt, die sich in der gleichen Domäne befinden.
universellen Gruppen
Universelle Gruppen sind die flexibelsten Gruppen und lassen sich zwischen Domänen innerhalb eines Forrests beliebig verschieben oder zuweisen
Gruppen mit dem Bereich "Universell" sollten zur Vereinheitlichung von Gruppen verwendet werden, die sich über mehrere Domänen erstrecken. Dazu fassen Sie die Konten in Gruppen mit dem Bereich "Global" zusammen und schachteln diese unterhalb von Gruppen, die über den Gruppenbereich "Universell" verfügen. Auf diese Weise wirken sich Änderungen an den Mitgliedschaften von Gruppen mit dem Bereich "Global" nicht auf Gruppen mit dem Bereich "Universell" aus. Als Beispiel soll ein Netzwerk mit den beiden Domänen Europa und USA dienen. Man Könnte hier z.b. eine Universell Gruppe einfüheren um einen ordner zu haben der Standig aktuallisiert wird und ubersichtlich ist . Doch man sollte bedenken das die Mitgliedschaften in einer Gruppe mit dem Bereich "Universell" möglichst selten geändert werden sollte da die gesamten Gruppenmitgliedschaften bei nur einer Änderung auf jeden globalen Katalog in der Gesamtstruktur repliziert werden. Das erfordert für den Zeitraum der Repplikation einen enorme Datenbelastung der leitungen. Man sollte also gut überlegen welche Gruppe man zu einer universell gruppe macht.
Als erstes ist es wichtig zu wissen welche Funktionsebene die Domäne besitzt
Funktionsebenen
Windows 2000 gemischt
Ist die Standard Domänenfunktionsebene. Sie Arbeitet mit Windows Server 2003,Windows 2000 und Windows NT 4.0 Servern. Die NT 4.0 Server erkennen hierbei jedoch nicht den Universellen Gruppenbereich oder die Verschachtelungen von Gruppen mit dem selben bereich. Ebenfalls können Mitgliedsserver in einer Domäne mit diesem Modus nicht Lokale Gruppen der Domäne für das zuweisen von berechtigungen sowie die Mitgliedschaft der lokalen gruppen verwenden. Das heißt auf einem Mitgliedserver der diese Domäne anwählt erscheinen nur Globale und wen es kein nt 4.0 ist Universelle.Gruppen können nicht Geändert werden, wenn als Domänenfunktionsebene Windows 2000 im gemischten Modus festgelegt ist.
Windows 2000 pur
Unterstützt auf den Mitgliedsserver Lokale Gruppen der Domäne fur die Zuweisung von Berechtigungen. Allerdings können keine Windows NT4 BDCs server mehr betrieben werden. Die Herunterstufung der Domaenenfunktionsebene ist nicht möglich. Die gute Nachricht ist aber das die Domänenfunktionsebene nur in der Domäne und nicht in der Gesamtstruktur gilt.
Windows 2003
Stellt noch zahlreiche weitere funktionen zur verfügung kann aber allerdings erst verwendet werden wen alle Domänencontroller der Domäne mit Windows server 2003 ausgestattet sind.
Als nächstes muss man überlegen in welchen Gruppentyp man die gruppe anlegt
Verteiler- und Sicherheitsgruppen:
Verteilergruppen:
Sie dienen fuer die Verteilung von Emails (Exchange ab Version 2000). Auf Verteilergruppen koennen keine Zugriffsrechte gesetzt werden.
Sicherheitsgruppen:
Auf Sicherheitsgruppen koennen Ressourcen-Zugriffsrechte gesetzt werden. Sicherheitsgruppen sind Lokale (Builtin), Globale, Universelle und domaenenlokale Gruppen.
Als nächstes die Gruppe die man anlegen möchte
Gruppenbereiche
Gruppen erleichtern die Zuweisung von Rechten in einem Netzwerk
Es gibt drei Arten von Gruppen
Domänenlokale Gruppen
Enthalten Mitglieder aus allen Domänen der Gesamtstruktur (UG)
Erlauben Zugriff auf Ressourcen innerhalb einer Domäne.
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert. (GG ) -----------------------------------------------------------------------------
Globale Gruppen
Enthalten Mitglieder aus derselben Domäne
Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur.(UG)
Mitgliedschaften werden innerhalb der gesamten Domäne repliziert (DG)
Der Gruppenname wird im globalen Katalog repliziert.
Globale Gruppen werden im globalen Katalog angezeigt.
Universale Gruppen
-Enthalten Mitglieder aus allen Domänen der Gesamtstruktur.(DG)
-Erlauben Zugriff auf Ressourcen in allen Domänen der Gesamtstruktur. (GG)
-Mitgliedschaften werden im globalen Katalog in der Gesamtstruktur repliziert.
Mitgliedschaften und Änderungen sollten deshalb auf ein Minimum reduziert werden. Es sollten keine einzelnen Benutzer zugefügt werden.
-Universale Gruppen stehen nur im einheitlichen Modus zur Verfügung.
lokalen Domänengruppen
Wichtig Hierbei ist das diese Gruppe nicht mit den lokalen gruppen verwechselt werden. Domänenlokale Gruppen sind unter Active Directory neu eingeführt worden, um die Berechtigungsvergabe zu vereinfachen und sicherer zu machen. Befindet sich die lokale Domänengruppe im Gruppentyp Sicherheitsgruppe kann sie nur berechtigungen zu ressourcen sowie Benutzerrechte zuweisen, die sich in der selben Domäne wie die lokale Domänengruppe der Domäne befindet (Siehe oben) Lokale Gruppen mussen erst mehrere berechtigungen entzogen werden da sie für den Computer gelten auf dem sie sich befinden und nicht ausschließlich für die Domäne gelten. Deshalb wird nur die Gruppe der Admins meistens den Lokalen Gruppen zugeordnet.
Um z. B. fünf Benutzern den Zugriff auf einen bestimmten Drucker zu gewähren, nehmen Sie alle fünf Benutzerkonten in die Liste der Druckerberechtigungen auf. Wenn Sie diesen fünf Benutzern später Zugriff auf einen neuen Drucker erteilen möchten, müssten Sie die fünf Konten dann erneut in die Berechtigungsliste des neuen Druckers eintragen.
Diese Routineaufgabe lässt sich mit einem geringen Planungsaufwand vereinfachen, indem Sie eine Gruppe mit dem Bereich "Lokale Domäne" (dies ist keine Lokale Gruppe im ursprünglichen Sinn sondern wird in AD gespeichert) einrichten und dieser Gruppe eine Berechtigung für den Druckerzugriff zuordnen. Fassen Sie die fünf Benutzerkonten in einer Gruppe mit dem Bereich "Global" zusammen, und fügen Sie diese Gruppe der Gruppe mit dem Bereich "Lokale Domäne" hinzu. Wenn Sie den fünf Benutzern jetzt den Zugriff auf einen neuen Drucker gewähren möchten, ordnen Sie der Gruppe mit dem Bereich "Lokale Domäne" eine Zugriffsberechtigung für den neuen Drucker zu. Auf diese Weise können alle Mitglieder der Gruppe mit dem Bereich "Lokale Domäne" automatisch auf den neuen Drucker zugreifen. Lokale Domänengruppen erleichtern also das Verwalten von Zugriffsrechten werden aber meistens Kombiniert mit Globalen sicherlich wird sich jetzt bei dem einem oder anderen die Frage stellen warum man nun noch extra globale gruppen verwendet werden nun um es einfach auszudrücken Damit man eine bessere struktur erhält in unserem Beispiel wo wir eine Druckerfreigabe erteilen würden wir die globale Gruppe den namen Drucker 1 geben Damit können wir jederzeit dieser Domäne den drucker wieder entziehen sowie auch einzelnen Benutzern diese Freigabe in der Domäne ohne lange zu suchen entziehen.
Microsoft nennt dieses System:AGDLP
Accounts Global Domain-Local Permissions
Globale gruppen
Die globale Gruppe kann Domänengrenzen überschreiten. Sie dienen dazu, Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zusammenzufassen.Globale gruppen dienen also zur Verschachtelung von Gruppen um die Weitergabe von Berechtigungen steuern zu können. Die Mitgliedschaft an globalen Gruppen ist allerdings auf Objekte beschränkt, die sich in der gleichen Domäne befinden.
universellen Gruppen
Universelle Gruppen sind die flexibelsten Gruppen und lassen sich zwischen Domänen innerhalb eines Forrests beliebig verschieben oder zuweisen
Gruppen mit dem Bereich "Universell" sollten zur Vereinheitlichung von Gruppen verwendet werden, die sich über mehrere Domänen erstrecken. Dazu fassen Sie die Konten in Gruppen mit dem Bereich "Global" zusammen und schachteln diese unterhalb von Gruppen, die über den Gruppenbereich "Universell" verfügen. Auf diese Weise wirken sich Änderungen an den Mitgliedschaften von Gruppen mit dem Bereich "Global" nicht auf Gruppen mit dem Bereich "Universell" aus. Als Beispiel soll ein Netzwerk mit den beiden Domänen Europa und USA dienen. Man Könnte hier z.b. eine Universell Gruppe einfüheren um einen ordner zu haben der Standig aktuallisiert wird und ubersichtlich ist . Doch man sollte bedenken das die Mitgliedschaften in einer Gruppe mit dem Bereich "Universell" möglichst selten geändert werden sollte da die gesamten Gruppenmitgliedschaften bei nur einer Änderung auf jeden globalen Katalog in der Gesamtstruktur repliziert werden. Das erfordert für den Zeitraum der Repplikation einen enorme Datenbelastung der leitungen. Man sollte also gut überlegen welche Gruppe man zu einer universell gruppe macht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 16043
Url: https://administrator.de/contentid/16043
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
1 Kommentar
Hallo,
wie sieht es denn damit aus wenn ich eine Gruppe von Benutzern anlegen möchte, die ich dann zwischen Domänen Benutzer und Domänen Admin hin und her schieben kann ???
Konnte bis jetzt keine meiner erstellten Gruppen in die Gruppe Domänen Admins aufnehmen !!
Woran liegt das ???
Wie oder kann ich das überhaupt ändern ???
wie sieht es denn damit aus wenn ich eine Gruppe von Benutzern anlegen möchte, die ich dann zwischen Domänen Benutzer und Domänen Admin hin und her schieben kann ???
Konnte bis jetzt keine meiner erstellten Gruppen in die Gruppe Domänen Admins aufnehmen !!
Woran liegt das ???
Wie oder kann ich das überhaupt ändern ???