0

Aufbau einer Gruppenstruktur - das "AGDLP"-Prinzip

25.09.2014 13:02 Uhr von Ute Schwietering

Beim Einrichten des Active Directory stellt sich die Frage, wie man mit den verschiedenen Gruppenbereichen umgeht (engl. group scopes). Windows bietet Ihnen globale, domänenlokale und universelle Gruppen an. In diesem Artikel beschreiben wir anhand des sog. "AGDLP"-Prinzips die rollenbasierte Gruppenorganisation, die Microsoft zur effizienten Berechtigungsverwaltung empfiehlt. Damit erhalten Sie eine möglichst optimale Gruppenverschachtelung, die Ihren Arbeitsaufwand verringert, die Transparenz der Berechtigungen erhöht und auch bei mehreren Domänen möglichst wenig Replikationsaufwand im Netzwerk verursacht.

Beim Einrichten des Active Directory stellt sich die Frage, wie man mit den verschiedenen Gruppenbereichen umgeht (engl. group scopes). Windows bietet Ihnen globale, domänenlokale und universelle Gruppen an. In diesem Artikel beschreiben wir anhand des sog. "A G DL P"-Prinzips die rollenbasierte Gruppenorganisation, die Microsoft zur effizienten Berechtigungsverwaltung empfiehlt. Damit erhalten Sie eine möglichst optimale Gruppenverschachtelung, die Ihren Arbeitsaufwand verringert, die Transparenz der Berechtigungen erhöht und auch bei mehreren Domänen möglichst wenig Replikationsaufwand im Netzwerk verursacht.

Das "AGDLP"-Prinzip

Die Buchstaben bedeuten

  • A: Benutzer- oder Computerkonto (engl. account),
  • G: Globale Gruppe,
  • DL: Domänenlokale Gruppe,
  • P: Berechtigung (engl. permission; z.B. Eintrag in ACL).

Mit Hilfe dieses Prinzips wird eine rollenbasierte Gruppenorganisation mit folgenden Eigenschaften aufgebaut:

  • Globale Gruppen bündeln Benutzer- und Computerkonten und repräsentieren Rollen, die sich an den Geschäftsprozessen orientieren.
    Beispiele: Controlling, Anwenderbetreuung, Vertrieb
  • Domänenlokale Gruppen werden für geschützte Ressourcen verwendet (z.B. Verzeichnisse) und in die Zugriffskontrolllisten (engl. access control list/ACL) eingetragen.
    Wichtig: Diese Gruppen werden nur in der ACL eines Verzeichnisses verwendet, nicht an anderen Stellen im Active Directory. Sie werden als fachliche Berechtigungsgruppen bezeichnet und entsprechen einer Prozessberechtigung.
  • Um eine Menge von Benutzern zu berechtigen, wird einfach die globale Gruppe als Mitglied der domänenlokalen Gruppen der Ressource eingetragen.

Für die Verwaltung ergeben sich viele Vorteile:

  • In der ACL einer geschützten Ressource (z.B. eines Verzeichnisses) gibt es meist nur 2 fachliche Berechtigungsgruppen (Nur Lesen und Lesen/Schreiben/Löschen).
  • Es sind niemals einzelne Benutzer direkt berechtigt, nur globale Gruppen.
  • Mit Hilfe einer geeigneten Namenskonvention für fachliche Berechtigungsgruppen können direkt Organisationseinheit und Berechtigung abgelesen werden.
    Beispiel: Leseberechtigung im Verzeichnis "Vertrieb": DL_Vertrieb_R (domänenlokale Gruppe)
  • Die fachliche Berechtigungsgruppe enthält als Mitglieder nur globale Gruppen der Benutzer.
    Beispiel: Die domänenlokale Gruppe DL_Vertrieb_RWD enthält die globalen (Benutzer-) Gruppen G_U_Vertrieb_Leiter, G_U_Vertrieb_Vorzimmer, G_U_IT_Support, Domänen-Admins
  • Die Änderung der Benutzerberechtigungen findet nur noch im AD durch Änderung der globalen Gruppen statt, nicht mehr im Dateisystem.
  • Auch fachliche Änderungen der Zugriffsrechte finden nicht mehr im Dateisystem statt, sondern durch Definition neuer globaler Gruppen im AD und Zuordnung zu domänenlokalen Gruppen, z.B. für Projekte, die temporär Berechtigungen erhalten sollen.

Umsetzung mit dem Parks Authorization Manager (PAM)

Ein Beispiel mit dem Parks Authorization Manager (PAM) zeigt das Prinzip anhand eines geschützten Abteilungsverzeichnisses.

Für jede Abteilung soll ein Ordner angelegt werden, in dem die Mitarbeiter der Abteilung Lese- und Schreibzugriff haben, andere Mitarbeiter reinen Lesezugriff bekommen können. Dafür wird eine Verzeichnisvorlage in PAM definiert, die bei der Erstellung der Abteilungsverzeichnisse verwendet wird.

Bei der Definition der Berechtigungen in der Verzeichnisvorlage wird der entsprechende Gruppenbereich (domänenlokal) ausgewählt. Auch die gewünschten Berechtigungen, die in der ACL eingetragen werden sollen, werden angeklickt.

Wird später ein Abteilungsverzeichnis mit der Vorlage erstellt, erzeugt PAM automatisch auch die Gruppen im Active Directory und initialisiert die ACL des Ordners im Dateisystem.

Beispiel: Wenn man mit dieser Vorlage ein Verzeichnis für eine Organisationseinheit "Vertrieb" erstellt, erzeugt PAM automatisch eine domänenlokale Gruppe "DL_Vertrieb_RWD" im Active Directory und trägt sie mit den entsprechenden Berechtigungen in die ACL des Verzeichnisses im Dateisystem ein (PAM ersetzt den Platzhalter "$(OrgUnit)" im Namen der Gruppe durch die Organisationseinheit, hier im Beispiel "Vertrieb"). In diese neue Gruppe können dann die globalen Gruppen der Benutzer eingetragen werden, die so den gewünschten Zugriff erhalten.

Zurück

Einen Kommentar schreiben