Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 20 Gruppen und Gruppenverschachtelung
  gp 20.1 Gruppentypen und Gruppenbereiche
  gp 20.2 Altlasten aus Windows-NT-4.0-Domänen
  gp 20.3 Sicherheitsgruppen im Active Directory
  gp 20.4 Umwandlung von Gruppen
  gp 20.5 Globale oder universelle Gruppenbereiche verwenden
  gp 20.6 Einige Ratschläge zur Auswahl des Gruppentyps und des Gruppenbereichs

Kapitel 20 Gruppen und Gruppenverschachtelung

Nur wenn sowohl eine Domäne als auch die Exchange-Organisation von Anfang an im einheitlichen Modus erstellt werden, kann die gewählte Gruppenstruktur durch die Beschränkung auf wenige Gruppenbereiche und durch eine Verschachtelung der Gruppen übersichtlich und leicht verwaltbar bleiben.


Galileo Computing

20.1 Gruppentypen und Gruppenbereiche  toptop

Unter Microsoft Active Directory gibt es die Gruppentypen Sicherheitsgruppe und Verteilergruppe. Sicherheitsgruppen können als Mitglieder Benutzer, externe Kontakte oder Computer haben, wobei Computer auch Server sein können. Sie können prinzipiell gemischte Sicherheitsgruppen erstellen, die z.B. als Mitglieder sowohl Benutzer als auch Computer haben. Einer Sicherheitsgruppe können Zugriffsrechte auf Dateien, Verzeichnisse, Freigaben und Netzwerkdrucker erteilt werden. Ebenso kann eine Sicherheitsgruppe berechtigt werden, bestimmte Objekttypen innerhalb einer bestimmten Organisationseinheit (OU) zu verwalten. Weiterhin ist es möglich, einer bestimmten Sicherheitsgruppe die Rechte Lesen und Übernehmen für eine Gruppenrichtlinie zu erteilen. Gruppen vom Typ Sicherheit können aber gleichzeitig als E–Mail-Verteilerlisten genutzt werden. Dazu klicken Sie die Gruppe mit der rechten Maustaste an und wählen Exchange-Aufgaben · E-Mail-Adresse erstellen.

Verteilergruppen werden dann angelegt, wenn eine Gruppe von Benutzern über einen Exchange-E-Mail-Verteiler adressierbar sein soll, jedoch keine Berechtigungen auf ein Gruppenverzeichnis erhalten soll. Auf einem Exchange Server können Sie öffentliche Ordner erstellen. Wenn Sie die Zugriffsberechtigungen für einen öffentlichen Ordner verändern, indem Sie einer Verteilergruppe bestimmte Rechte geben, so wird die Verteilergruppe automatisch in eine Sicherheitsgruppe umgewandelt.

Probieren Sie das einmal aus: Erstellen Sie eine globale Verteilergruppe namens Testverteiler und erstellen Sie für diese Verteilergruppe eine Exchange-E-Mail-Adresse, indem Sie die Verteilergruppe mit der rechten Maustaste anklicken, Exchange-Aufgaben wählen und E-Mail-Adresse einrichten wählen. Danach starten Sie Outlook, wechseln in Öffentliche Ordner · Alle öffentlichen Ordner und erstellen dort einen Testordner. Sie öffnen nun die Eigenschaften dieses Testordners, dort die Registerkarte Berechtigungen, fügen den neuen Verteiler Testverteiler hinzu und vergeben ihm Rechte. Danach verlassen Sie das Eigenschaftsfenster und sehen sich nun die Eigenschaften der ehemaligen Verteilergruppe Testverteiler an. Aus der Verteilergruppe ist eine Sicherheitsgruppe geworden.

Welche Konsequenzen hat das für Ihre Planung? Wenn aus Verteilergruppen spätestens dann, wenn man ihnen bestimmte Rechte auf einen öffentlichen Ordner des Exchange Server zuweist, automatisch Sicherheitsgruppen werden, können Sie auch von vorneherein nur noch Sicherheitsgruppen anlegen. Damit bleibt Ihre Dokumentation dann auch sauber, denn die automatische Umwandlung einer Verteilergruppe in eine Sicherheitsgruppe werden Sie bewusst gar nicht mitbekommen, erst recht nicht, wenn Kollegen berechtigt sind, ab einer bestimmten Ordnerhierarchie eigene öffentliche Ordner anzulegen und darauf Berechtigungen zu vergeben. Auch ist es unsinnig, eine Namenskonvention für Gruppen festzulegen, bei der in Sicherheits- und Verteilergruppen unterschieden wird, indem Sie z.B. jede Sicherheitsgruppe mit dem Buchstaben »S« und jede Verteilergruppe mit dem Buchstaben »V« beginnen würden. Spätestens nach einem Jahr Produktivbetrieb würden Sie wahrscheinlich feststellen, dass viele der Gruppen, deren Namen mit »V« beginnt, inzwischen zu Sicherheitsgruppen umgewandelt wurden.

Diese Gruppentypen haben jeweils die drei Gruppenbereiche Lokale Domäne, Global und Universal, wobei die Begriffe »universal« und »universell« in der Fachliteratur durcheinander verwendet werden. Im Snap-In Active Directory-Benutzer und –Computer heißen diese Gruppen Universal, gemeint ist aber, dass sie universell genutzt werden können. Auch ich benutze beide Begriffe in diesem Buch nebeneinander.

In der Fachliteratur werden nun diese Gruppen gegeneinander abgegrenzt. Dabei wird in der Regel ein Konzept zur Nutzung dieser Gruppenbereiche erklärt, bei dem ein Mehrdomänenkonzept Pate steht und darauf hingewiesen wird, dass dieses Konzept bezüglich späterer Erweiterungen die größte Flexibilität bietet. Dieses Konzept schlägt folgende Vorgehensweise vor: Alle Benutzer, die auf eine bestimmte Ressource zugreifen sollen (z.B. auf bestimmte Netzdrucker oder ein bestimmtes Gruppenverzeichnis auf einem Dateiserver), sollen in einer globalen Gruppe zusammengefasst werden. Die passenden Rechte für die Ressource sollen jedoch nicht direkt dieser globalen Gruppe erteilt werden. Stattdessen soll eine lokale Gruppe erstellt werden, und die globale Gruppe soll als Mitglied in diese lokale Gruppe aufgenommen werden. Diese lokale Gruppe soll nun die passenden Rechte auf die Ressource erhalten.

Dieses Vorgehen wird damit begründet, dass auf diese Weise auch Mitglieder einer anderen Domäne der Gesamtstruktur auf diese Ressource zugreifen können. Da globale Gruppen immer nur Mitglieder derselben Domäne aufnehmen können, lokale Gruppen jedoch auch globale Gruppen anderer Domänen aufnehmen können, kann auf diese Weise z.B. auf ein Verzeichnis Projekt ABC des Servers S1.HansenVerlag.Company.com nicht nur jedes Mitglied der globalen Gruppe Projekt ABC HansenVerlag der Zugriff gewährt werden, sondern auch der globalen Gruppe Projekt ABC BensonVerlag, wenn die letztere globale Gruppe zur Subdomäne BensonVerlag.Company.com gehört und folglich nur Domänenbenutzer der Subdomäne BensonVerlag enthält.

Sie können und sollten vielleicht auch so vorgehen, wenn Ihre Gesamtstruktur aus politischen Gründen unbedingt eine Vielzahl von Subdomänen unter einer Stammdomäne vereint. Doch macht dies die Verwaltung bestimmt nicht gerade einfacher. Ein Grundprinzip bei der Einführung von Active Directory ist nämlich, dass Sie den Umbau ehemaliger Windows-NT-4.0-Domänen und Netware-Netze nutzen sollten, um diese Komplexität zurückzuführen, indem ehemalige NT-4.0-Domänen unter Microsoft Active Directory in OUs umgewandelt und im Idealfall unter einer einzigen Domäne zusammengeführt werden. OUs sind nämlich später bei Umstrukturierungen viel flexibler als Subdomänen.

Außerdem kommt es in der Praxis oft nur ausnahmsweise vor, dass Mitarbeiter verschiedener Subdomänen auf dieselben Ressourcen zugreifen müssen. Handelt es sich hierbei um Ordner mit Dokumenten (z.B. Projektordner), so können Sie diesen Projektordner aber auch als öffentlichen Exchange-Ordner oder über einen SharePoint Portal Server verfügbar machen. Eine Exchange-Organisation jedoch ist nicht an eine bestimmte Domäne gebunden. Sie können ein und dieselbe Exchange-Organisation für alle Domänen einer Gesamtstruktur nutzen, ja müssen es sogar, da es nicht möglich ist, zwei Exchange-Organisationen in einem Domänenwald parallel zu betreiben.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de