NTFS-Berechtigungen mit Active Directory

Active Directory ist ein Verzeichnisdienst von Microsoft Windows, der Benutzer eines Netzwerkes wie in einem Telefonbuch (engl.: directory) listet und ihnen den Zugriff auf die für sie relevanten Daten von gleich welchem Rechner im Unternehmensnetzwerk ermöglicht. Gerade in einem großen Unternehmen lohnt sich die Verwendung eines Dienstes wie Active Directory, denn auf diese Art erübrigt sich die Einrichtung eines Benutzerkontos auf jedem einzelnen Rechner. Der Verzeichnisdienst speichert die Benutzerdaten nicht lokal, sondern verwaltet sie serverseitig durch einen sogenannten Domänencontroller. Eine Domäne ist ein eigenständiger Sicherheitsbereich mit bestimmten NTFS- Berechtigungen, zu der Benutzer wie in einer Gruppe hinzugefügt werden können, statt ihnen die Rechte einzeln zu verleihen. Ein Active Directory muss mindestens eine Domäne enthalten.

Wie hängen Active Directory und NTFS-Berechtigungen zusammen?

Active Directory erlaubt es Administratoren, Benutzer zu Gruppen mit bestimmten Zugriffsrechten hinzuzufügen. Weil dieser Verzeichnisdienst zentral gesteuert wird, erlaubt er die schnelle Replikation von Strukturen und damit Benutzerkonten in einem Rechnernetzwerk. Die Gruppen, in die die Benutzer eingefügt werden, heißen Domänen, die bestimmten Gruppenrichtlinien folgen. Hinter diesen Gruppenrichtlinien können sich auch NTFS-Berechtigungen verbergen, sodass mit dem Hinzufügen der Benutzer quasi in Fließbandabfertigung Freigaben erteilt werden können. Diese Berechtigungen gelten dann für alle im Netzwerk verbundenen Rechner.

Verzeichnisstrukturen mit NTFS-Berechtigungen mit Active Directory anlegen

Active Directory erlaubt das Erstellen verschiedener Organisationseinheiten (Domänen). Jede Domäne enthält für sie exklusive Sicherheitsrichtlinien, die nicht auf eine andere Domäne übertragen werden können. Außerdem verfügt sie über eine eindeutige, namentliche Zuordnung. Die Gesamtstruktur aller Verzeichnisse mehrerer Domänenstrukturen nennt man einen Domänenwald, da die Subdomänen wie Äste aus voneinander unabhängigen Stammdomänen hervorgehen. Benutzerkonten, die Zugriff auf diese einzelnen Domänenbäume nehmen müssen, werden unter Active Directory als Sicherheitsprinzipale bezeichnet und haben die Aufgabe, Benutzer oder Netzwerkcomputer zu identifizieren und Zugriffskontrolle auf die Domänenressourcen zu kontrollieren.

How to: Gruppen verwalten mit Active Directory

Das Hinzufügen eines neuen Benutzers in eine Active Directory Gruppe und ihre Verwaltung gestaltet sich unkompliziert. Jeder neue Benutzer wird automatisch in die Dummy-Gruppe „Domänen-Benutzer“ aufgenommen. Von dort aus entscheiden Sie als Admin, in welche weiteren er oder sie aufgenommen wird. Das funktioniert über den Reiter „Mitglied von“ unter den Benutzer-Eigenschaften. Über den Button „Hinzufügen“ öffnet sich ein Fenster mit drei Schaltflächen:

1. Objekttyp – Hier kann die Voreinstellung „Gruppen und integrierte Sicherheitsprinzipale“ stehen gelassen werden.
2. Pfade – Hier wird der entsprechende Suchpfad für die jeweilige Domäne eingetragen
3. Namen überprüfen – Tragen Sie hier den vollständigen Namen oder einen Wortbestandteil der Domäne ein, in die sie Benutzer hinzufügen wollen. Nachdem Sie auf den Button gedrückt haben, wirft das Rechtemanagement Programm alle verfügbaren Domänen mit dem entsprechenden Titel aus. Markieren Sie eine oder mehrere Gruppen und klicken Sie dann auf „OK“.

Wie funktioniert NTFS-Rechtemanagement in Active Directory?

Die alles entscheidende Fragestellung im Rechtemanagement auf NTFS-Servern ist „Wer darf was?“. Mit steigender Mitarbeiterzahl in einem wachsenden Unternehmen ist sie ohne eine gute Organisation zunehmend schwerer zu beantworten. Mit Active Directory hat es sich bewährt, drei Gruppentypen strategisch einzusetzen, um einen Überblick zu behalten: globale Gruppen, domänenlokale Gruppen und universelle Gruppen. Gerade das kluge Zusammenspiel der ersten beiden Varianten hat die schnelle Verteilung von NTFS-Rechten stark vereinfacht.

Was sind universale, globale und domänenlokale Gruppen?

Globale Gruppen helfen dabei, sich zunächst einmal einen Überblick über die Mitarbeiter in einer bestimmten Abteilung zu verschaffen, ohne bereits Rechte zu vergeben. Damit ist die Frage nach dem „Wer“ geklärt.

Universalgruppen funktionieren unter denselben Grundvoraussetzungen wie globale Gruppen, sind aber nicht auf die eigene Domäne beschränkt. Mitglieder von universellen Gruppen können zu jeder Domäne hinzugefügt werden, zu denen eine Vertrauensstellung besteht.

Domänenlokale Gruppen bilden die Ebene, auf denen die Frage beantwortet wird, welche Rechte vergeben werden.

Per ADGLP-Strategie Ihr NTFS-Rechtemanagement verwalten

Domänenorganisation nach der AGDLP-Strategie unter NTFS mit Active Directory kann beim Rechtemanagement helfen. AGDLP steht für Accounts in global groups in domain local groups which get permissions (Konten in globalen Gruppen, die sich in domänenlokalen Gruppen befinden und dadurch Berechtigungen erhalten). Als Beispiel soll der Bereich „Aktuelle Neuigkeiten“ auf einer Intranet-Webseite des Unternehmens gelten. Redaktionsmitarbeiter sollen ihn lesen und aktualisieren dürfen, während Mitarbeitern nur Leseberechtigungen erteilt werden sollen. Man benötigt demnach nur zwei Gruppen - eine mit in etwa dem Titel „Lesen-Neuigkeiten“ und eine namens „Lesen/Schreiben-Neuigkeiten“, die die entsprechenden NTFS-Rechte besitzen.

Im nächsten Schritt könnte man nun die globale Gruppe „Redaktion“ in die domänenlokale „Lesen-Schreiben-Neuigkeiten“ Gruppe einfügen und die Gruppe „Mitarbeiter“ in die „Lesen-Neuigkeiten“ Gruppe. Dadurch werden allen Benutzern in der globalen Gruppe die NTFS-Rechte der domänenlokalen Gruppen vererbt.

Testen Sie jetzt kostenlos unseren Parks Authorization Manager!

Gelangen Sie jetzt zu unserem Download und testen Sie unverbindlich und ohne Risiko die Demo-Version.