Best Practices zur Verwaltung
von Active Directory-Gruppen

Die Sicherheit Ihrer Daten ist uns wichtig. Datenschutzrichtlinie

Die Verwendung von Microsoft Active Directory-Gruppen ist die effektivste Methode, um den Zugriff auf Ressourcen zu steuern und das Prinzip der geringsten Rechte durchzusetzen. Sie können damit auch Berechtigungen für Ressourcen (z. B. Windows-Dateiserver oder SQL-Datenbanken) einfacher auflisten.

Gruppenbereiche

Welche Objekte Sie zu einer Active Directory-Gruppe hinzufügen können, hängt vom Gruppenbereich ab.

Active Directory Group Management - group scopes

 

  • Lokale Gruppen haben einen lokal begrenzten Bereich. Sie werden auf einem Computer erstellt und definiert und sind deshalb auch ausschließlich auf diesem Computer verfügbar. Erstellen Sie keine neuen lokalen Gruppen auf Workstations; in der Regel sind die Gruppen „Benutzer“ und „Administratoren“ die einzigen beiden lokalen Gruppen, die verwaltet werden müssen.
  • Lokale Gruppen der Domäne sollten für die Verwaltung von Berechtigungen für Ressourcen verwendet werden, da diese Gruppen überall in der Domäne angewendet werden können. Eine lokale Gruppe der Domäne kann beliebige Mitglieder aus der Domäne und Mitglieder aus vertrauenswürdigen Domänen enthalten. Wenn Sie beispielsweise den Zugriff auf eine Reihe von Ordnern auf einem oder mehreren Servern mit Informationen für Manager verwalten möchten, erstellen Sie hierfür eine lokale Gruppe in der Domäne (z. B. „DL_Managers_Modify“).
  • Universelle Gruppen in Active Directory sind für Gesamtstrukturen mit mehreren Domänen hilfreich. Sie ermöglichen die Definition von Rollen oder die Verwaltung von Ressourcen, die mehr als eine Domäne umfassen. Jede universelle Gruppe wird in der Domäne gespeichert, in der sie erstellt wurde. Die Gruppenmitgliedschaft wird jedoch im Globalen Katalog gespeichert und innerhalb der Gesamtstruktur repliziert. Verwenden Sie keine universellen Gruppen, wenn Sie nur eine Domäne haben.
  • Globale Gruppen werden in erster Linie verwendet, um Sammlungen von Domänenobjekten (Benutzer, andere globale Gruppen und Computer) auf Basis von Geschäftsrollen zu definieren. Sie dienen somit im Wesentlichen als Rollengruppen. Rollenbasierte Benutzergruppen (z. B. „HR“ oder „Marketing“) und rollenbasierte Computergruppen (z. B. „Marketing-Workstations“) sind in der Regel globale Gruppen.

Best Practices für verschachtelte Active Directory-Gruppen

Wie die Tabelle oben zeigt, kann eine Gruppe auch Mitglied einer anderen Gruppe sein. Dieser Vorgang wird als Verschachteln bezeichnet. Durch Verschachteln können Sie Ihre Umgebung auf der Grundlage von Geschäftsrollen, Funktionen und Verwaltungsregeln übersichtlicher verwalten.

Active Directory Group Management Straregy (IGDLA)

 

  • Benutzer- und Computerkonten sollten Mitglieder globaler Gruppen für bestimmte Geschäftsrollen wie „Vertrieb“ oder „HR“ sein. Diese globalen Gruppen sollten wiederum Mitglieder lokaler Gruppen der Domäne für bestimmte Verwaltungsregeln sein, die beispielsweise definieren, wer worauf zugreifen kann. Diesen lokalen Gruppen der Domäne wird Zugriff auf Ressourcen gewährt. Der Zugriff auf einen freigegebenen Ordner wird gewährt, indem die lokale Gruppe der Domäne mit den entsprechenden Berechtigungen zur Zugriffssteuerungsliste des Ordners hinzugefügt wird.
  • Gehen Sie dabei wie folgt vor:
    • Fügen Sie Benutzer- und Computerkonten zu einer globalen Gruppe hinzu.
    • Fügen Sie die globale Gruppe zu einer universellen Gruppe hinzu.
    • Fügen Sie die universelle Gruppe zur lokalen Gruppe der Domäne hinzu.
    • Wenden Sie die Berechtigungen der Active Directory-Sicherheitsgruppe für die lokale Gruppe der Domäne auf eine Ressource an.
    • Die Konten in der ursprünglichen globalen Gruppe erhalten damit auf der Grundlage der Berechtigungen, die auf die lokale Gruppe der Domäne angewendet wurden, Zugriff auf die Ressource.

Der Unterschied zwischen Sicherheits- und Verteilergruppen

Active Directory-Sicherheitsgruppen und Active Directory-Verteilergruppen sind zwei unterschiedliche Dinge. Mit Sicherheitsgruppen können Sie beispielsweise Berechtigungen für freigegebene Ressourcen erteilen, mit Active Directory-Verteilergruppen können Sie E-Mail-Verteilerlisten in einer Exchange-Umgebung erstellen. Wenn sich ein Benutzer auf einem Computer „anmeldet“, erstellt das System das „Zugriffstoken“ für den Benutzer. Zugriffstoken enthalten die SIDs (Sicherheits-IDs) aller Sicherheitsgruppen, denen der Benutzer angehört. Sie enthalten keine SIDs von Verteilergruppen. Einfach ausgedrückt: Sie können keine Berechtigungen für Verteilergruppen vergeben. Selbst wenn Sie solche Berechtigungen definieren, haben sie keinerlei Auswirkungen.

Tipps für die Verwaltung von Gruppen

  • Bevor Sie mit der Verwaltung von Gruppen beginnen, konfigurieren Sie die Überwachungsfunktionen von Active Directory, um neu hinzugefügte Gruppen, Löschvorgänge und Änderungen an der Gruppenmitgliedschaft zu protokollieren. Hierfür können Sie entweder native Tools oder Drittanbieterlösungen wie Netwrix Auditor for Active Directory verwenden.
  • Erstellen Sie für jede Rolle oder Abteilung (Vertrieb, Marketing, Manager, Buchhalter usw.) eine globale Gruppe.
  • Implementieren Sie unternehmensweit Standard-Namenskonventionen, damit wichtige Informationen einer Gruppe einfacher identifiziert werden können. Gruppennamen können wichtige Details zu einer Gruppe beinhalten. Hierzu gehören die Zugriffsebene, der Ressourcentyp, die Sicherheitsstufe, der Gruppenbereich, E-Mail-Funktionen usw. Der Gruppenname „DL_Managers_Modify“ bedeutet beispielsweise, dass Manager für den ausgewählten Ordner nur Änderungsberechtigungen haben dürfen.
  • Organisieren Sie Gruppen nach logischen Kriterien wie Region oder Managementhierarchie. Verwenden Sie Gruppenbeschreibungen, die den Zweck der Gruppe genau beschreiben.
  • IT-Abteilungen geben die Verantwortung für die Verwaltung von Active Directory-Gruppen oft nur ungern ab, doch genau sie sollten nicht dafür verantwortlich sein. Gruppen sollten von den Mitarbeitern verwaltet werden, die für die Inhalte der jeweiligen Gruppe verantwortlich sind, nicht von IT-Mitarbeitern, die den Zweck einer Gruppe nicht wirklich kennen. Wenn sich die IT-Abteilung weigert, die Kontrolle anderen zu überlassen, werden zum einen IT-Ressourcen unnötig blockiert, zum anderen haben die Mitarbeiter, die eigentlich für ihre Gruppen verantwortlich sein und diese verwalten sollten, nur unzureichende Kontrollmöglichkeiten.
  • Mitarbeiter sollten die Möglichkeit haben, sich selbst zu den entsprechenden Gruppen hinzuzufügen, ohne sich hierfür an die IT-Abteilung wenden und manuell hinzugefügt werden zu müssen. Wählen Sie deshalb eine Software für die Gruppenverwaltung mittels Self-Service, die auch einen Workflow für Gruppenmitgliedschaften unterstützt: Mit einer solchen Lösung fordern Benutzer die Mitgliedschaft in den benötigten Gruppen an, woraufhin die Gruppenbesitzer benachrichtigt werden und die Anfrage mit einem Klick genehmigen oder ablehnen können.
  • In den meisten Fällen sollte die Gruppenmitgliedschaft dynamisch auf der Grundlage von Informationen wie Regeln, Active Directory-Attributen sowie Mitarbeiter- und Auftragnehmerdaten in Ihrem HR-Informationssystem oder Ihren Projektdatenbanken definiert werden. Mithilfe dieser Datenquellen können Sie dynamische Gruppen erstellen, die stets auf dem aktuellen Stand sind. Wenn ein Mitarbeiter beispielsweise aus dem HR-System gelöscht wird, wird das Konto dieses Benutzers automatisch aus den dynamischen Gruppen entfernt, deren Mitgliedschaft auf diesem System basiert.