Beim Einrichten des Active Directory stellt sich die Frage, wie man mit den verschiedenen Gruppenbereichen umgeht (engl. group scopes). Windows bietet Ihnen globale, domänenlokale und universelle Gruppen an. In diesem Artikel beschreiben wir anhand des sog. "AGDLP"-Prinzips die rollenbasierte Gruppenorganisation, die Microsoft zur effizienten Berechtigungsverwaltung empfiehlt. Damit erhalten Sie eine möglichst optimale Gruppenverschachtelung, die Ihren Arbeitsaufwand verringert, die Transparenz der Berechtigungen erhöht und auch bei mehreren Domänen möglichst wenig Replikationsaufwand im Netzwerk verursacht.

Die Buchstaben bedeuten

• A: Benutzer- oder Computerkonto (engl. account),
• G: Globale Gruppe,
• DL: Domänenlokale Gruppe,
• P: Berechtigung (engl. permission; z.B. Eintrag in ACL).

Mit Hilfe dieses Prinzips wird eine rollenbasierte Gruppenorganisation mit folgenden Eigenschaften aufgebaut:

• Globale Gruppen bündeln Benutzer- und Computerkonten und repräsentieren Rollen, die sich an den Geschäftsprozessen orientieren.
  Beispiele: Controlling, Anwenderbetreuung, Vertrieb
• Domänenlokale Gruppen werden für geschützte Ressourcen verwendet (z.B. Verzeichnisse) und in die Zugriffskontrolllisten (engl. access control list/ACL) eingetragen.
  Wichtig: Diese Gruppen werden nur in der ACL eines Verzeichnisses verwendet, nicht an anderen Stellen im Active Directory. Sie werden als fachliche Berechtigungsgruppen bezeichnet und entsprechen einer Prozessberechtigung.
• Um eine Menge von Benutzern zu berechtigen, wird einfach die globale Gruppe als Mitglied der domänenlokalen Gruppen der Ressource eingetragen.

Umsetzung mit dem Parks Authorization

Ein Beispiel mit dem Parks Authorization Manager (PAM) zeigt das Prinzip anhand eines geschützten Abteilungsverzeichnisses.

Für jede Abteilung soll ein Ordner angelegt werden, in dem die Mitarbeiter der Abteilung Lese- und Schreibzugriff haben, andere Mitarbeiter reinen Lesezugriff bekommen können. Dafür wird eine Verzeichnisvorlage in PAM definiert, die bei der Erstellung der Abteilungsverzeichnisse verwendet wird.

Bei der Definition der Berechtigungen in der Verzeichnisvorlage wird der entsprechende Gruppenbereich (domänenlokal) ausgewählt. Auch die gewünschten Berechtigungen, die in der ACL eingetragen werden sollen, werden angeklickt.

Wird später ein Abteilungsverzeichnis mit der Vorlage erstellt, erzeugt PAM automatisch auch die Gruppen im Active Directory und initialisiert die ACL des Ordners im Dateisystem.

Beispiel: Wenn man mit dieser Vorlage ein Verzeichnis für eine Organisationseinheit "Vertrieb" erstellt, erzeugt PAM automatisch eine domänenlokale Gruppe "DL_Vertrieb_RE" im Active Directory und trägt sie mit den entsprechenden Berechtigungen (Lesen und Ausführen) in die ACL des Verzeichnisses im Dateisystem ein (PAM ersetzt den Platzhalter "$(OrgUnit)" im Namen der Gruppe durch die Organisationseinheit, hier im Beispiel "Vertrieb"). In diese neue Gruppe können dann die globalen Gruppen der Benutzer eingetragen werden, die so den gewünschten Zugriff erhalten.