Globale Benutzer und Gruppen¶

Wir verwalten unsere Mitarbeiter/Innen geschickt über Gruppenkonzepte…

A-G-DL-P Regel¶

Wir beginnen mit dem Klassiker für die Verwaltung von Benutzer und Gruppen in Domänen: der A-G-DL-P Regel:

A ccounts (Benutzerkonto) - Mitglied von

   G lobal Group (Globale Gruppen) - Mitglied von

      D omain L ocal (Lokal in Domäne) - führt zu

         P ermissions (Berechtigungen)

In den Seminaren erstelle ich hierzu auch immer gerne ein Scribble:

Übung / Praxis: Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins ergibt die lokale Client- Verdrahtung der globalen Gruppen in den jeweiligen lokalen Benutzergruppen!

Wichtig

Immer werden Accounts (Konten) Mitglieder in Globalen Gruppen und dann mit diesen Gruppen Berechtigungen zugewiesen!

Bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer globale Gruppen definieren und zuweisen!

Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen bei Benutzern bzw. Admins auf den Clients:

Fähigkeit Freigaben für Ordner/Drucker einrichten können (siehe Hauptbenutzer)
Netzwerk konfigurieren (siehe Netzwerkkonfigurations-Operatoren)
Datei in Hauptverzeichnis C:\ erstellen
Datum/Uhrzeit einstellen
Remotedesktop nutzen (siehe RemotedesktopBenutzer)

Für die diversen Spezialfähigkeiten halten Lokale Benutzer und Gruppen Verwaltungen spezielle Benutzergruppen vor, mit deren Mitgliedschaften man die Fähigkeiten an den Clients erhält!

Gruppentypen und -Bereiche¶

Gruppentypen:

Sicherheit (siehe dann Sicherheitsgruppe - die „Standard“-Globale Gruppe),
Verteilung (etwas für Maillisten und Co)

Gruppenbereiche:

Lokal (in Domäne)
Global
Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen)

Der Einfachheit halber spricht man meist von Globalen Gruppen und meint hier dann ganz genau Globale Sicherheitsgruppen.