Sämtliche Gruppenarten im Active Directory haben einen bestimmten Zweck und müssen daher entsprechend eingesetzt werden. Das hier vorgestellte Teilkonzept dient einerseits einer klaren Strukturierung des Active Directorys und andererseits einer erleichterten Zuordnung von Accounts zu ihren Ressourcen.

Von meinem Artikel https://tomitzek.net/gruppenverschachtelung-ressourcen-funktion-rollen-und-warum-sie-davon-nur-profitieren-koennen/ abgeleitet, eine Definition wie die Gruppenverschachtelung auch in deiner IT Abteilung umgesetzt und zukunftsfähig weiter gelebt werden kann.

Es wird nach drei Arten von Sicherheitsgruppen unterschieden.

ROL-, GG- und DL-Gruppen.

DL-Gruppen sind sogenannte Ressourcengruppen (DL=domain local). Eine Ressource ist immer ein Bestandteil der jeweiligen Anwendung bzw. des Services, in dem der Account ein Zugriffsrecht haben soll. Das kann bspw. ein Schreib- oder Leserecht auf einem Netzlaufwerk, oder eine Benutzerrolle in einer Anwendung wie das Buchen in SAP sein. Die DL-Gruppen werden dann immer in der Ressource eingebunden.

Das Active Directory Konzept erlaubt keine direkten Berechtigungsvergaben in DL-Gruppen, daher dürfen in den DL-Gruppen keine Benutzeraccounts direkt als Mitglied hinzugefügt werden. Für die Nutzerzuordnung sind passende GG-Gruppen anzulegen und diese als Members in die DL-Gruppen zu berechtigen.

GG-Gruppen sind sogenannte Funktionsgruppen (GG=global group). Innerhalb einer Anwendung oder einem Service sind normalerweise unterschiedliche Rollen definiert. Diese werden in den GG-Gruppen abgebildet. Gleichzeitig erlaubt die GG-Gruppe, mehrere zur Anwendung oder zum Service gehörige Ressourcen anzubinden. Zum Beispiel kann eine Anwendung neben der Benutzerrolle innerhalb der Anwendung auch einen Datenbankzugriff und einen File Share-Zugriff benötigen. Die GG-Gruppe wäre dann entsprechend Member in den DL-Gruppen für die Anwendungsbenutzerrolle, für die Datenbank und für den File Share.

Sonderfall für ältere LDAP basierte Anwendungen:

In einzelnen Fällen, in denen die Zielanwendung bzw. der Service keine verschachtelten Gruppen auslesen kann, darf eine GG-Gruppe direkt in der Ressource verknüpft werden. Im Standard müssen immer passende DL-Gruppen erstellt werden, die dann in der Ressource verknüpft werden.

ROL-Gruppen sind sogenannte Rollengruppen. Sie dienen als organisatorische Zusammenfassung mehrerer Anwendungen und Services, auf die ein Mitarbeiter, aufgrund seiner organisatorischen Zugehörigkeit oder seiner Tätigkeit, Zugriff benötigt. Beispielsweise setzt ein Team mehrere Anwendungen ein, auf die alle zugehörigen Mitarbeiter gleichermaßen Zugriff haben sollen. Für jede Anwendung gibt es mehrere Ressourcen. Die spezifische Anwendung, Datenbank und den File Share. Alle Mitarbeiter des Teams gehören einer Organisationsgruppe an.

Allein durch die Zugehörigkeit zur Organisationsgruppe ist bereits der Zugriff auf die entsprechenden Anwendungen und Ressourcen gestattet, d.h. die ROL-Gruppe ist Member der jeweiligen GG-Gruppen.

Sollten für einen individuellen Benutzer zusätzliche Rechte benötigt werden, z.B. bei gruppenübergreifenden Tätigkeiten, können die Anwendungen je nach Bedarf mithilfe der existierenden Funktions- (GG-) oder Rollengruppen (ROL-) hinzugefügt werden.

Wenn du Unterstützung bei der Erstellung oder Weiterentwicklung deines Active Directory Konzepts benötigst, kannst du mich jederzeit über die bekannten Plattformen und Kontaktwege ansprechen. Hinterlasse mir gerne einen Kommentar wenn du Fragen zur Umsetzung oder zum Artikel hast. Ich freue mich auf den Austausch mit dir.

Über den Autor

Gregor Tomitzek – IT Berater, Coach und Mentor

Seit über 25 Jahren berate ich Firmen und private Personen in allen Belangen der Computertechnik. Als Leiter eines Infrastrukturteams bringe ich die technischen Anforderungen der Kunden zu Lösungen, und ermögliche dadurch ein besseres und schnelleres Arbeiten.

Durch meine langjährige Erfahrung, die Ausbindungen und der Nähe zu allen Unternehmensprozessen, unterstütze ich Leistungsträger, Teamleiter und Vorstände dabei, die Überlastung in IT-Abteilung zu senken und zugleich die Leistungsfähigkeit und Zufriedenheit von IT-Teams wahrnehmbar zu steigern.

Änderungshistorie