In diesem Kapitel abgedeckte Prüfungsziele:

157 K A P I T E L 4 Gruppen Während sich Benutzer, Computer und selbst Dienste im Laufe der Zeit verändern, weisen Rollen und Regeln innerhalb eines Unternehmens eine relative Stabilität auf. Beispielsweise gibt es in Ihrem Unternehmen sehr wahrscheinlich eine Finanzrolle, für die bestimmte Berechtigungen im Unternehmen erforderlich sind. Wenngleich sich der oder die Benutzer ändern können, die diese Rolle innehaben, bleibt die Rolle selbst unverändert. Daher ist es praktisch gesehen kein empfohlener Ansatz, ein Unternehmen über die Zuweisung von Rechten und Berechtigungen zu einzelnen Benutzern, Computern oder Dienstidentitäten zu verwalten. Verwaltungsaufgaben sollten mit Gruppen verknüpft sein. In diesem Training verwenden Sie Gruppen unter anderem für die Kennzeichnung von Verwaltungs- und Benutzerrollen, zum Filtern der Gruppenrichtlinie sowie zum Zuweisen von eindeutigen Kennwortrichtlinien, Rechten und Berechtigungen. Als Vorbereitung auf diese Aufgaben lernen Sie in dieser Lektion, wie Sie in einer AD DS-Domäne (Active Directory Domain Services) Gruppenobjekte erstellen, bearbeiten, löschen und unterstützen. In diesem Kapitel abgedeckte Prüfungsziele: Erstellen und Verwalten von Active Directory-Objekten Automatisieren der Erstellung von Active Directory-Konten Verwalten von Active Directory-Konten Lektionen in diesem Kapitel: Lektion 1: Erstellen und Verwalten von Gruppen............................ 159 Lektion 2: Automatisieren der Erstellung und Verwaltung von Gruppen.......... 180 Lektion 3: Verwalten von Gruppen in einem Unternehmen.................... 192

158 Kapitel 4 Gruppen Bevor Sie beginnen In diesem Kapitel werden Microsoft Windows PowerShell, Microsoft VBScript, CSVDE (Comma-Separated Values Data Exchange) und LDIFDE (LDAP Data Interchange Format Data Exchange) für die Automatisierung der Computerkontoerstellung genutzt. Bevor Sie dieses Kapitel durcharbeiten, sollten Sie sich mit den Lehrinhalten von Lektion 1, Automatisieren der Benutzerkontenerstellung, und Lektion 2, Erstellen von Benutzern mit Windows PowerShell und VBScript, in Kapitel 3, Benutzer, vertraut machen. Außerdem benötigen Sie zum Durchführen der Übungen in diesem Kapitel einen Domänencontroller namens SERVER01, der sich in der Domäne contoso.com befindet. Eine ausführliche Anleitung zum Erstellen des Domänencontrollers und der Domäne finden Sie in Kapitel 1, Installation. Praxistipp Dan Holme Eine effiziente und effektive Gruppenverwaltung ist die Grundvoraussetzung für Sicherheit, Konsistenz und Produktivität in einer IT-Umgebung. Als Berater verbringe ich mit meinen Kunden viel Zeit damit, Technologien an ihren Geschäftsbedürfnissen auszurichten. Im Fall von Microsoft Windows-Technologien umfasst dies die Definition und Implementierung von Rollen und Regeln im Unternehmen, sodass die Verwaltung definiert, dokumentiert und automatisiert werden kann. Für diese Verfahren ist oftmals erforderlich, dass Kunden ihre Kenntnisse im Bereich der Gruppenverwaltung erweitern, und auch Technologien und Verfahren müssen in diesem Rahmen angepasst werden. Viele IT-Spezialisten haben vor ihrer Arbeit mit Windows Server 2008 Active Directory die Vorteile, die Gruppen mit sich bringen, nicht in vollem Umfang genutzt. Ich habe tatsächlich so häufig erlebt, dass eine unzureichende Gruppenverwaltung zu einer verringerten Produktivität und einer herabgesetzten Sicherheit führt, dass ich in meinem Buch Windows-Administration Die technische Referenz, Teilband von Microsoft Windows Server 2008 Die technische Referenz (Microsoft Press, 2008) der Verbesserung und Automatisierung der Gruppenverwaltung zwei Kapitel gewidmet habe. In dieser Lektion erfahren Sie, welche Kenntnisse für die Zertifizierungsprüfung erforderlich sind. Darüber hinaus erhalten Sie Hilfestellungen und lernen die empfohlenen Vorgehensweisen kennen, die in einer Produktionsumgebung für die bestmögliche Nutzung von Gruppen erforderlich sind. Für weitere Informationen, Hilfestellungen und die leistungsstarken Tools, die für die Gruppenverwaltung zur Verfügung stehen, möchte ich Ihnen die technische Referenz empfehlen.

Lektion 1: Erstellen und Verwalten von Gruppen 159 Lektion 1: Erstellen und Verwalten von Gruppen Der Zweck von Gruppen ist Ihnen sicherlich bekannt: Gruppen werden zum Zusammenfassen von Objekten und zum Verwalten der Objekte als eine einzelne Entität verwendet. Bei der Implementierung einer Gruppenverwaltung in Active Directory handelt es sich nicht um ein intuitives Verfahren, da Active Directory für die Unterstützung großer verteilter Umgebungen entwickelt wurde. Aus diesem Grund umfasst Active Directory insgesamt sieben Gruppentypen: zwei Domänengruppentypen mit jeweils drei Bereichen sowie lokale Sicherheitsgruppen. In dieser Lektion erfahren Sie, welche Gruppe für welchen Zweck verwendet wird, und Sie lernen, auf welche Weise Sie Ihre Geschäftsanforderungen und die unter Umständen komplexen Optionen von Active Directory miteinander in Einklang bringen können. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: Erstellen von Gruppen mithilfe des Snap-Ins Active Directory-Benutzer und -Computer Verwalten und Konvertieren von Gruppentypen und -bereichen Ermitteln der Objekttypen, die Mitglieder von Gruppen unterschiedlicher Bereiche sein können Verwalten von Gruppenmitgliedschaften Entwickeln einer Gruppenverwaltungsstrategie Veranschlagte Zeit für diese Lektion: 45 Minuten Verwalten eines Unternehmens mithilfe von Gruppen Bei Gruppen handelt es sich um Sicherheitsprinzipale mit einer Sicherheitskennung (Security Identifier, SID), die über ihr Attribut member weitere Sicherheitsprinzipale (Benutzer, Computer, Kontakte und weitere Gruppen) zusammenführen, um die Verwaltung zu vereinfachen. Angenommen, alle 100 Benutzer in der Vertriebsabteilung benötigen Leseberechtigungen für einen freigegebenen Ordner auf einem Server: Der Verwaltungsaufwand, der beim Erteilen der Berechtigungen für jeden einzelnen Benutzer entstehen würde, wäre nicht zu bewältigen. Wenn neue Vertriebsmitarbeiter angestellt werden, müssen Sie die neuen Konten der Zugriffssteuerungsliste (Access Control List, ACL) des Ordners hinzufügen. Wenn Konten gelöscht werden, müssen Sie die Berechtigungen aus der ACL entfernen, da andernfalls der Eintrag des nicht mehr vorhandenen Kontos in der ACL verbleibt, wie in Abbildung 4.1 dargestellt. Dadurch würde die ACL eine SID enthalten, die auf ein Konto verweist, das nicht aufgelöst werden kann. Nehmen wir nun an, dass alle 100 Benutzer der Vertriebsabteilung Zugriffsberechtigungen für zehn freigegebene Ordner auf drei Servern benötigen. Dadurch wird der Verwaltungsaufwand noch einmal erheblich vergrößert.

160 Kapitel 4 Gruppen In den vorangegangenen Kapiteln wurde das Zuweisen von Berechtigungen für Ressourcen zu einzelnen Identitäten wie z.b. einem Benutzer oder Computer erläutert. Es hat sich jedoch bewährt, einer Gruppe eine einzelne Berechtigung zuzuweisen und dann den Zugriff auf Ressourcen durch Ändern der Gruppenmitgliedschaft zu verwalten. Abbildung 4.1 Eine ACL mit einer SID, die auf ein Konto verweist, das nicht mehr aufgelöst werden kann Sie könnten also, um beim genannten Beispiel zu bleiben, eine Gruppe namens Vertrieb erstellen und für die Gruppe für die Berechtigung Lesen die Option Zulassen für die zehn freigegebenen Ordner auf den drei Servern auswählen. Dadurch erhalten Sie einen einzelnen Verwaltungspunkt. Der Zugriff auf die freigegebenen Ordner wird effektiv über die Gruppe Vertrieb verwaltet. Sie können der Gruppe Vertrieb neue Benutzer hinzufügen, die ebenfalls Zugriff auf die zehn freigegebenen Ordner erhalten. Beim Löschen eines Kontos wird dies automatisch aus der Gruppe entfernt, sodass keine nicht auflösbaren SIDs in Ihren ACLs enthalten sind. Darüber hinaus bietet sich Ihnen ein weiterer Vorteil: Da Ihre ACL durch die Auswahl der Option Zulassen für die Berechtigung Lesen der Gruppe Vertrieb stabil bleibt, wird auch die Durchführung von Sicherungen vereinfacht. Wenn Sie Änderungen an der ACL eines Ordners vornehmen, übernimmt die ACL diese für alle untergeordneten Ordner und Dateien. Dadurch wird gleichzeitig das Flag für die Archivierung gesetzt und damit eine Sicherung aller Dateien initiiert, auch wenn sich der Dateiinhalt nicht geändert hat. Im Rahmen des genannten Beispiels benötigen nun nicht mehr nur die Vertriebsmitarbeiter Lesezugriff auf die Ordner. Mitarbeiter der Marketingabteilung sowie neu eingestellte Vertriebsberater Ihrer Organisation benötigen ebenfalls die Berechtigung Lesen für die gleichen Ordner. Sie könnten diese Gruppen den ACLs der Ordner hinzufügen, dann hätten Sie jedoch bald ACLs, in denen sich zahlreiche Berechtigungen befinden, dieses Mal durch die Auswahl der Option Zulassen für die Berechtigung Lesen für mehrere Gruppen und nicht, wie zuvor, für mehrere Benutzer.

Lektion 1: Erstellen und Verwalten von Gruppen 161 Um den drei Gruppen Berechtigungen für die zehn Ordner auf den drei Servern zu erteilen, ist insgesamt das Hinzufügen von 30 Berechtigungen erforderlich. Für die nächste, Zugriff benötigende Gruppe sind zehn weitere Änderungen an den ACLs der zehn freigegebenen Ordner zum Erteilen der Berechtigungen erforderlich. Was wäre, wenn acht Benutzer, die weder Vertriebs- oder Marketingmitarbeiter noch Berater sind, aus geschäftlichen Gründen Lesezugriff auf die zehn Ordner benötigen? Fügen Sie dann die Benutzerkonten einzeln den ACLs hinzu? Sie können anhand dieses einfachen Beispiels sehen, dass durch die Verwendung von nur einem Gruppentyp in diesem Fall eine Gruppe, die die Rolle des Benutzers definiert keine effektive Zugriffsverwaltung für die zehn Ordner möglich ist. Als Lösung für eine effektive Verwaltung sind im Rahmen des genannten Beispiels zwei Verwaltungstypen erforderlich. Zum einen ist die Verwaltung der Benutzer als Sammlungen basierend auf ihren Rollen im Unternehmen sowie die Zugriffsverwaltung für die zehn Ordner erforderlich. Bei den zehn Ordnern handelt es sich um eine Objektsammlung: Sie stellen eine einzelne Ressource dar, die auf zehn Ordner auf drei Servern verteilt ist. Sie möchten den Lesezugriff für diese Ressourcensammlung verwalten. Dafür benötigen Sie einen einzelnen Verwaltungspunkt, über den Sie den Zugriff auf die Ressourcensammlung verwalten. Dafür ist eine weitere Gruppe erforderlich eine Gruppe, die den Lesezugriff auf die zehn Ordner auf den drei Servern darstellt. Angenommen, es wird eine Gruppe mit dem Namen ACL_Vertriebsordner_Lesen erstellt. Für diese Gruppe wird für die Berechtigung Lesen die Option Zulassen für die zehn Ordner aktiviert. Die Vertriebs-, Marketing- und Beratergruppen werden gemeinsam mit den acht einzelnen Benutzern Mitglieder der Gruppe ACL_Vertriebsordner_Lesen. Sobald zusätzliche Gruppen oder Benutzer Zugriff auf die Ordner benötigen, werden sie dieser Gruppe hinzugefügt. Dadurch kann auch einfacher ermittelt werden, wer Zugriff auf die Ordner hat. Sie müssen nicht mehr die ACLs für jeden der zehn Ordner überprüfen, sondern lediglich die Mitgliedschaft der Gruppe ACL_Vertriebsordner_Lesen. Dieser Ansatz zur Unternehmensverwaltung mithilfe von Gruppen wird als rollenbasierte Verwaltung bezeichnet. Sie definieren Benutzerrollen auf Grundlage von Geschäftsmerkmalen, wie beispielsweise anhand von Abteilungen wie Vertrieb, Marketing und Berater, und Sie wenden Ihre Geschäftsregeln an, wie z.b. welche Rollen und einzelnen Benutzer auf die zehn Ordner zugreifen können. Sie können beide Verwaltungsaufgaben mithilfe von Gruppen in einem Verzeichnis durchführen. Rollen werden von Gruppen dargestellt, die Benutzer, Computer und weitere Rollen umfassen. Rollen können tatsächlich weitere Rollen enthalten. Die Rolle für leitende Angestellte kann beispielsweise die Rollen Leitende Angestellte des Vertriebs, Leitende Angestellte der Finanzabteilung und Leitende Angestellte der Fertigung umfassen. Rollen, wie z.b. die Rolle, über die der Lesezugriff für die zehn Ordner definiert wird, werden ebenfalls durch Gruppen dargestellt. Regelgruppen umfassen Rollengruppen und unter Umständen auch einzelne Benutzer oder Computer, wie im genannten Beispiel die acht Benutzer.

162 Kapitel 4 Gruppen Um Unternehmen beliebiger Größe und Komplexität verwalten zu können, ist eine effektive Gruppenverwaltung sowie eine Gruppeninfrastruktur erforderlich, die einzelne Verwaltungspunkte für Rollen und Regeln bietet. Das bedeutet, dass Sie Gruppen benötigen, die als Mitglieder Benutzer, Computer und weitere Gruppen und unter Umständen Sicherheitsprinzipale aus anderen Domänen umfassen können. Weitere Informationen zur regelbasierten Verwaltung werden im Handbuch Windows-Administration Die technische Referenz, Teilband von Microsoft Windows Server 2008 Die technische Referenz bereitgestellt. Definieren von Namenskonventionen für Gruppen Um Gruppen mithilfe des Snap-Ins Active Directory-Benutzer und -Computer zu erstellen, klicken Sie einfach mit der rechten Maustaste auf die OU, in der Sie eine Gruppe erstellen möchten, wählen Neu und dann Gruppe. Im Dialogfeld Neues Objekt Gruppe, dargestellt in Abbildung 4.2, können Sie die grundlegenden Eigenschaften der neuen Gruppe festlegen. Abbildung 4.2 Das Dialogfeld Neues Objekt Gruppe Die erste zu konfigurierende Eigenschaft sind die Gruppennamen. Eine Gruppe verfügt wie auch ein Benutzer oder Computer über mehrere Namen. Der erste Name, dargestellt im Feld Gruppenname in Abbildung 4.2, wird von Windows 2000 und späteren Systemen zum Kennzeichnen eines Objekts verwendet und für die Attribute cn und name des Objekts übernommen. Bei dem zweiten Namen, dem Prä-Windows 2000-Namen, handelt es sich um das Attribut samaccountname, das zum Kennzeichnen der Gruppe für Computer, auf denen Microsoft Windows NT 4.0 ausgeführt wird, und für einige Geräte wie z.b. an das Netzwerk angeschlossene Speichergeräte (Network Attached Storage, NAS), verwendet wird, auf denen Nicht-Microsoft-Betriebssysteme ausgeführt werden. Die Attribute cn und name müssen nur innerhalb eines Containers der OU eindeutig sein, in dem die Gruppe vorhanden ist. Das Attribut samaccountname muss innerhalb der gesamten Domäne eindeutig sein. Es ist zwar technisch möglich, dass der Wert des Attributs samaccountname nicht den Werten der Attribute cn und name entspricht, eine abweichende Festlegung wird jedoch keinesfalls empfohlen. Wählen Sie einen in der Domäne eindeutigen Namen, und verwenden Sie ihn in beiden Namensfeldern im Dialogfeld Neues Objekt Gruppe.

Lektion 1: Erstellen und Verwalten von Gruppen 163 Der von Ihnen gewählte Name sollte Sie bei der alltäglichen Verwaltung der Gruppe und Ihres Unternehmens unterstützen. Es ist empfehlenswert, dass Sie einer Namenskonvention folgen, wodurch der Gruppentyp sowie der Gruppenzweck gekennzeichnet wird. Im vorangegangenen Abschnitt wurde beispielsweise der Gruppenname ACL_Vertriebsordner_Lesen verwendet. Durch das Präfix wird angegeben, dass die Gruppe für die Zuweisung von Berechtigungen zu einem Ordner verwendet wird: Es wird für Zugriffssteuerungslisten verwendet. Der Hauptteil des Namens beschreibt die Ressource, die über die Gruppe verwaltet wird: Der Vertriebsordner. Durch das Suffix wird angegeben, was über die Gruppe verwaltet wird: Der Lesezugriff. Durch ein Trennzeichen in diesem Fall ein Unterstrich werden die einzelnen Bestandteile des Namens voneinander abgetrennt. In Gruppennamen können auch Leerzeichen verwendet werden, beachten Sie dabei allerdings, dass Sie diese in Anführungszeichen setzen, wenn Sie in der Befehlszeile auf diese Namen verweisen.sie können Skripts erstellen, die das Trennzeichen zum Teilen von Gruppennamen für eine Vereinfachung der Überwachung und Berichterstattung nutzen. Denken Sie daran, das Rollengruppen zur Definition von Benutzerrollen häufig von Benutzern ohne technischen Hintergrund genutzt werden. Sie könnten z.b. die E-Mail-Option für die Vertriebsgruppe aktivieren, sodass sie als E- Mail-Verteilerliste verwendet werden kann. Daher ist es empfehlenswert, dass Sie keine Präfixe für den Rollengruppennamen verwenden, die Namen sollten benutzerfreundlich und beschreibend sein. Weitere Informationen zur effektiven Gruppenverwaltung finden Sie im Handbuch Windows-Administration Die technische Referenz, Teilband von Microsoft Windows Server 2008 Die technische Referenz. Grundlegendes zu Gruppentypen Es wird zwischen zwei Gruppentypen unterschieden: Sicherheitsgruppen und Verteilergruppen. Beim Erstellen einer Gruppe wählen Sie den Gruppentyp im Dialogfeld Neues Objekt Gruppe aus. Verteilergruppen werden vorwiegend von E-Mail-Anwendungen genutzt. Diese Gruppen sind nicht sicherheitsaktiviert, d.h. sie verfügen nicht über SIDs, und daher kann ihnen keine Berechtigung für Ressourcen erteilt werden. Durch das Versenden einer Nachricht an eine Verteilergruppe erhalten alle Mitglieder der Gruppe die Nachricht. Sicherheitsgruppen sind Sicherheitsprinzipale mit SIDs. Diese Gruppen können daher als Berechtigungseinträge in ACLs für die Steuerung der Sicherheit für den Ressourcenzugriff verwendet werden. Sicherheitsgruppen können darüber hinaus auch als Verteilergruppen von E-Mail-Anwendungen genutzt werden. Wenn eine Gruppe für die Sicherheitsverwaltung verwendet wird, muss es sich um eine Sicherheitsgruppe handeln. Da Sicherheitsgruppen für den Ressourcenzugriff und die Verteilung von E-Mails genutzt werden können, werden in vielen Organisationen nur Sicherheitsgruppen verwendet. Es ist jedoch empfehlenswert, Gruppen, die ausschließlich als E-Mail-Verteilergruppen verwendet werden, auch als Verteilergruppe zu erstellen. Andernfalls wird der Gruppe eine SID zugewiesen, die dem Sicherheitszugriffstoken von Benutzern hinzugefügt wird. Dadurch werden Token unnötig vergrößert.

164 Kapitel 4 Gruppen! Grundlegendes zum Gruppenbereich Gruppen verfügen über Mitglieder: Benutzer, Computer und andere Gruppen. Gruppen können Mitglieder von anderen Gruppen sein, und auf Gruppen kann über ACLs, Gruppenrichtlinienobjektfilter (Group Policy Object, GPO) und weitere Verwaltungskomponenten verwiesen werden. Der Gruppenbereich hat Auswirkungen auf all diese Merkmale einer Gruppe: Was sie enthalten kann, wozu sie gehört und wo sie verwendet werden kann. Es gibt vier unterschiedliche Gruppenbereiche: Global, Lokal (in Domäne), Lokal und Universal. Die Merkmale, die der Bereichsdefinition dienen, können in die folgenden Kategorien gegliedert werden: Replikation An welcher Stelle wird die Gruppe definiert, und für welche Systeme wird die Gruppe repliziert? Mitgliedschaft Welche Sicherheitsprinzipaltypen kann die Gruppe als Mitglieder umfassen? Kann die Gruppe Sicherheitsprinzipale von vertrauten Domänen enthalten? In Kapitel 12, Domänen und Gesamtstrukturen, werden vertrauenswürdige Beziehungen oder Vertrauensstellungen ausführlich erläutert. Über eine Vertrauensstellung kann eine Domäne für die Benutzerauthentifizierung auf eine andere Domäne verweisen, um Sicherheitsprinzipale aus der anderen Domäne als Gruppenmitglieder zu integrieren und um Sicherheitsprinzipalen in der anderen Domäne Berechtigungen zuzuweisen. Die verwendete Terminologie kann hierbei etwas verwirrend sein. Wenn Domäne A der Domäne B vertraut, dann ist Domäne A die vertrauende Domäne, und Domäne B ist die vertraute Domäne. Domäne A akzeptiert die Anmeldeinformationen von Benutzern in Domäne B. Sie leitet Benutzeranforderungen von Domäne B zum Authentifizieren an einen Domänencontroller der Domäne B weiter, da sie dem Identitätsspeicher und Authentifizierungsdienst von Domäne B vertraut. Domäne A kann Sicherheitsprinzipale aus Domäne B zu Gruppen und ACLs aus Domäne A hinzufügen. Ausführliche Informationen zu diesem Thema finden Sie in Kapitel 12. Prüfungstipp Im Kontext von Gruppenmitgliedschaften sollten Sie wissen, dass unter der Voraussetzung, dass Domäne A der Domäne B vertraut, Domäne B als vertraute Domäne bezeichnet wird und ihre Benutzer und globalen Gruppen Mitglieder domänenlokaler Gruppen in Domäne A sein können. Darüber hinaus können Benutzern und globalen Gruppen in Domäne B Berechtigungen für Ressourcen in Domäne A zugewiesen werden. Verfügbarkeit An welcher Stelle kann die Gruppe verwendet werden? Kann die Gruppe einer anderen Gruppe hinzugefügt werden? Kann die Gruppe einer ACL hinzugefügt werden? Denken Sie an diese Eigenschaften, wenn Sie die Details der einzelnen Gruppenbereichen untersuchen.

Lektion 1: Erstellen und Verwalten von Gruppen 165 Lokale Gruppen Lokale Gruppen tragen diesen Namen zu Recht, sie werden auf einem einzelnen Computer definiert und sind auch nur dort verfügbar. Sie werden in der Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) eines Computers erstellt, der Mitglied der Domäne ist. Sowohl Arbeitsstationen als auch Server verfügen über lokale Gruppen. In einer Arbeitsgruppe werden lokale Gruppen für die Sicherheitsverwaltung für Ressourcen in einem System genutzt. In einer Domäne ist die Verwaltung lokaler Gruppen einzelner Computer jedoch äußerst aufwendig und größtenteils auch unnötig. Das Erstellen benutzerdefinierter lokaler Gruppen für Domänenmitglieder ist nicht empfehlenswert. Die beiden lokalen Gruppen Benutzer und Administratoren sollten in der Regel die einzigen lokalen Gruppen sein, mit deren Verwaltung Sie in einer Domänenumgebung betraut sind. Zusammenfassung: Replikation Eine lokale Gruppe wird ausschließlich in der lokalen SAM-Datenbank eines Domänenmitgliedservers definiert. Es findet keine Replikation der Gruppe und ihrer Mitgliedschaften auf ein anderes System statt. Mitgliedschaft Eine lokale Gruppe, die folgende Mitglieder umfassen kann: Jeden beliebigen Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer, globale Gruppen oder domänenlokale Gruppen. Benutzer, Computer und globale Gruppen aus jeder beliebigen Domäne in der Gesamtstruktur. Benutzer, Computer und globale Gruppen aus jeder vertrauten Domäne. Universelle, in einer beliebigen Domäne in der Gesamtstruktur definierte Gruppen. Verfügbarkeit Eine lokale Gruppe, deren Bereich sich nur auf einen Computer erstreckt. Sie kann ausschließlich in ACLs auf dem lokalen Computer verwendet werden. Eine lokale Gruppe kann kein Mitglied einer anderen Gruppe sein. Domänenlokale Gruppen Domänenlokale Gruppen werden vorwiegend für die Verwaltung von Ressourcenberechtigungen verwendet. Die zuvor in diesem Kapitel erläuterte Gruppe ACL_ Vertriebsordner_Lesen würde z.b. als domänenlokale Gruppe erstellt werden. Domänenlokale Gruppen weisen die folgenden Merkmale auf: Replikation Eine domänenlokale Gruppe wird im Domänennamenskontext definiert. Das Gruppenobjekt und seine Mitgliedschaften (das Attribut member) werden auf jeden Domänencontroller in der Domäne repliziert. Mitgliedschaft Eine domänenlokale Gruppe kann folgende Mitglieder umfassen: Jeden beliebigen Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer, globale Gruppen oder weitere domänenlokale Gruppen.

166 Kapitel 4 Gruppen Benutzer, Computer und globale Gruppen aus jeder beliebigen Domäne in der Gesamtstruktur. Benutzer, Computer und globale Gruppen aus jeder vertrauten Domäne. Universelle, in einer beliebigen Domäne in der Gesamtstruktur definierte Gruppen. Verfügbarkeit Eine domänenlokale Gruppe kann ACLs für jede beliebige Ressource auf jedem beliebigen Domänenmitglied hinzugefügt werden. Darüber hinaus kann eine domänenlokale Gruppe ein Mitglied anderer domänenlokaler Gruppen oder auch lokaler Gruppen auf einem Computer sein. Die Möglichkeiten für die Mitgliedschaft domänenlokaler Gruppen sind mit denen von lokalen Gruppen vergleichbar, durch die Replikation und Verfügbarkeit kann eine domänenlokale Gruppe jedoch innerhalb der gesamten Domäne verwendet werden. Die domänenlokale Gruppe ist daher besonders gut zum Definieren von Geschäftsverwaltungsregeln, wie beispielsweise Zugriffsrechten, geeignet, da die Gruppe an jeder beliebigen Stelle in der Domäne angewendet werden kann und sie innerhalb der Domäne Mitglieder jedes beliebigen Typs sowie Mitglieder vertrauter Domänen umfassen kann. Globale Gruppen Globale Gruppen werden, basierend auf Geschäftsrollen, vorwiegend für die Definition von Domänenobjektsammlungen verwendet. Rollengruppen, wie z.b. die zuvor erwähnten Gruppen Vertrieb und Marketing, sowie Computerrollen wie beispielsweise die Gruppe Vertriebslaptops werden als globale Gruppen erstellt. Globale Gruppen weisen die folgenden Merkmale auf: Replikation Eine globale Gruppe wird im Domänennamenskontext definiert. Das Gruppenobjekt wird, einschließlich des Attributs member, auf alle Domänencontroller in der Domäne repliziert. Mitgliedschaft Eine globale Gruppe kann als Mitglieder nur Benutzer, Computer und andere globale Gruppen innerhalb der gleichen Domäne umfassen. Verfügbarkeit Eine globale Gruppe ist für die Verwendung von allen Domänenmitgliedern sowie allen anderen Domänen in der Gesamtstruktur und allen vertrauenden externen Domänen verfügbar. Sie kann Mitglied jeder beliebigen domänenlokalen Gruppe oder universellen Gruppe in der Domäne oder der Gesamtstruktur sein. Darüber hinaus kann sie Mitglied jeder domänenlokalen Gruppe in einer vertrauenden Domäne sein. Abschließend ist es möglich, eine globale Gruppe ACLs in der Domäne, der Gesamtstruktur oder in vertrauenden Domänen hinzuzufügen. Wie Sie sehen, weisen globale Gruppen die meisten Einschränkungen im Hinblick auf die Mitgliedschaft (nur Benutzer, Computer und globale Gruppen der gleichen Domäne), jedoch die weitreichendste Verfügbarkeit innerhalb der Domäne, der Gesamtstruktur und von vertrauenden Domänen auf. Daher sind sie für die Definition von Rollen besonders gut geeignet, da Rollen in der Regel Objektsammlungen aus dem gleichen Verzeichnis darstellen.

Lektion 1: Erstellen und Verwalten von Gruppen 167 Universelle Gruppen Universelle Gruppen sind in Gesamtstrukturen mit mehreren Domänen nützlich. Über diese Gruppen können Sie Rollen definieren oder Ressourcen verwalten, die nicht nur innerhalb einer Domäne Verwendung finden. Universelle Gruppen können am besten anhand des folgenden Beispiels verdeutlicht werden. Die Gesamtstruktur des Unternehmens Trey Research setzt sich auch drei Domänen zusammen: Nord- und Südamerika, Asien und Europa. Jede Domäne verfügt über Benutzerkonten und eine globale Gruppe namens Leitende Angestellte in einer Region, die die leitenden Angestellten der Region umfasst. Denken Sie daran, dass globale Gruppen nur Benutzer aus der gleichen Domäne umfassen können. Es wird eine universelle Gruppe mit dem Namen Leitende Angestellte von Trey Research in einer Region erstellt, und die drei Leitenden Angestellten in der Region werden als Mitglieder hinzugefügt. Durch die Gruppe Leitende Angestellte von Trey Research in einer Region wird eine Rolle für die ganze Gesamtstruktur definiert. Beim Hinzufügen von Benutzern zu einer der Gruppen Leitende Angestellte einer Region werden diese über die Gruppenverschachtelung auch Mitglieder der Gruppe Leitende Angestellte von Trey Research in einer Region. Das Unternehmen Trey Research plant den Verkauf eines neuen Produkts, für das die Zusammenarbeit zwischen den Regionen erforderlich ist. Die mit diesem Projekt verbundenen Ressourcen werden auf Dateiservern in jeder Domäne gespeichert. Um zu definieren, wer Änderungen an mit diesem Produkt verbundenen Dateien vornehmen kann, wird eine universelle Gruppe namens ACL_Neues Produkt_Bearbeiten erstellt. Für diese Gruppe wird für die Berechtigung Ändern für die freigegebenen Ordner auf jedem der Dateiserver in jeder Domäne die Option Zulassen aktiviert. Die Gruppe Leitende Angestellte von Trey Research in einer Region wird Mitglied der Gruppe ACL_Neues Produkt_Bearbeiten, die bereits zahlreiche globale Gruppen und einige wenige Benutzer aus den Regionen als Mitglieder aufweist. Wie Sie an diesem Beispiel sehen können, sind globale Gruppen bei der Darstellung und Konsolidierung von Gruppen, die sich über mehrere Domänen in einer Gesamtstruktur erstrecken, sowie für die Definition von Regeln hilfreich, die innerhalb der Gesamtstruktur angewendet werden können. Universelle Gruppen weisen die folgenden Merkmale auf: Replikation Eine universelle Gruppe wird in einer einzelnen Domäne in der Gesamtstruktur definiert, sie wird aber im globalen Katalog repliziert. Weitere Informationen zum globalen Katalog werden in Kapitel 10, Domänencontroller, bereitgestellt. Auf Objekte im globalen Katalog kann von beliebiger Stelle innerhalb der Gesamtstruktur zugegriffen werden. Mitgliedschaft Eine universelle Gruppe kann als Mitglieder Benutzer, globale Gruppen und weitere universelle Gruppen von jeder beliebigen Domäne in der Gesamtstruktur umfassen. Verfügbarkeit Eine universelle Gruppe kann Mitglied einer universellen Gruppe oder einer domänenlokalen Gruppe an beliebiger Stelle innerhalb der Gesamtstruktur sein. Darüber hinaus können universelle Gruppen für die Ressourcenverwaltung verwendet werden, beispielsweise zum Zuweisen von Berechtigungen innerhalb der Gesamtstruktur.

168 Kapitel 4 Gruppen Möglichkeiten in Bezug auf Gruppenmitgliedschaften Zusammenfassung Sowohl im Rahmen der Zertifizierungsprüfung 70-640 als auch bei den alltäglichen Administrationsaufgaben ist es wichtig, dass Sie mit den Mitgliedschaftsmerkmalen jedes Gruppenbereichs vollständig vertraut sind. In Tabelle 4.1 werden die Objekte aufgeführt, die Mitglieder jedes Gruppenbereichs sein können. Tabelle 4.1 Gruppenbereich und Mitglieder Gruppenbereich Mitglieder der gleichen Domäne Mitglieder einer anderen Domäne in der gleichen Gesamtstruktur Mitglieder einer vertrauten externen Domäne Lokal Lokal (in Domäne) Universal Global Benutzer Computer Globale Gruppen Universelle Gruppen Domänenlokale Gruppen Lokale Benutzer, die auf dem gleichen Computer wie die lokale Gruppe definiert sind Benutzer Computer Globale Gruppen Domänenlokale Gruppen Universelle Gruppen Benutzer Computer Globale Gruppen Universelle Gruppen Benutzer Computer Globale Gruppen Benutzer Benutzer Computer Computer Globale Gruppen Globale Gruppen Universelle Gruppen Benutzer Benutzer Computer Computer Globale Gruppen Globale Gruppen Universelle Gruppen Benutzer Computer Globale Gruppen Universelle Gruppen

Lektion 1: Erstellen und Verwalten von Gruppen 169 Schnelltest Welche Objekttypen können Mitglieder einer globalen Gruppe in einer Domäne sein? Antwort Globale Gruppen können sich nur aus Benutzern, Computern und weiteren globalen Gruppen der gleichen Domäne zusammensetzen. Konvertieren von Gruppenbereich und -typ Wenn Sie nach dem Erstellen einer Gruppe feststellen, dass Änderungen am Gruppenbereich oder -typ erforderlich sind, können Sie diese vornehmen. Wenn Sie das Eigenschaftendialogfeld einer vorhandenen Gruppe öffnen, wird auf der Registerkarte Allgemein (siehe in Abbildung 4.3) der vorhandene Bereich und Typ angezeigt. Mindestens ein weiterer Bereich und ein weiterer Typ stehen zur Auswahl bereit. Abbildung 4.3 Die Registerkarte Allgemein im Eigenschaftendialogfeld einer Gruppe Sie können den Gruppentyp jederzeit konvertieren, indem Sie Änderungen an der im Bereich Gruppentyp auf der Registerkarte Allgemein vorgenommenen Auswahl vornehmen. Dabei sollten Sie jedoch Folgendes bedenken: Wenn Sie den Gruppentyp von Sicherheit in Verteilung ändern, kann auf die Ressourcen, für die die Gruppe über Berechtigungen verfügt, nicht mehr auf die gleiche Weise zugegriffen werden. Nachdem die Gruppe eine Verteilergruppe wurde, verfügen die Benutzer, die sich an der Domäne anmelden, in ihren Sicherheitszugriffstoken nicht mehr über die Gruppen-SID.

170 Kapitel 4 Gruppen Zum Ändern des Gruppenbereichs stehen Ihnen mehrere Möglichkeiten zur Verfügung: Global in Universal Lokal (in Domäne) in Universal Universal in Global Universal in Lokal (in Domäne) Die einzigen Bereichsänderungen, die nicht direkt vorgenommen werden können, sind von Global in Lokal (in Domäne) oder von Lokal (in Domäne) in Global. Sie können diese Änderung jedoch indirekt vornehmen, indem Sie zuerst eine Konvertierung in den Bereich Universal vornehmen und diesen Bereich anschließend in den gewünschten Bereich konvertieren. Auf diese Weise können alle Bereichsänderungen vorgenommen werden. Denken Sie jedoch daran, dass über den Gruppenbereich die Objekttypen festgelegt werden, die Gruppenmitglieder werden können. Wenn eine Gruppe bereits über Mitglieder verfügt oder Mitglied einer anderen Gruppe ist, können keine Änderungen am Bereich vorgenommen werden. Wenn beispielsweise eine globale Gruppe Mitglied einer anderen globalen Gruppe ist, können Sie den Bereich der ersten Gruppe nicht in Universal ändern, da eine universelle Gruppe kein Mitglied einer globalen Gruppe sein kann. In diesem Fall wird eine Fehlermeldung mit der entsprechenden Erläuterung angezeigt, siehe ein Beispiel in Abbildung 4.4. Sie müssen die Mitgliedschaftskonflikte vor dem Ändern eines Gruppenbereichs beheben. Abbildung 4.4 Fehlermeldung, die aufgrund einer Gruppenmitgliedschaft bei einer unzulässigen Änderung des Bereichs angezeigt wird Der in Kapitel 3 erläuterte Befehl Dsmod kann über die folgende Syntax zum Ändern des Gruppentyps und -bereichs verwendet werden: dsmod group GruppenDN secgrp { yes no } scope { l g u } Hierbei gibt GruppenDN den zu ändernden definierten Namen der Gruppe an. Die folgenden beiden Parameter beziehen sich auf Gruppenbereich und -typ: -secgrp { yes no } legt den Gruppentyp fest: Sicherheit (yes) oder Verteilung (no). -scope { l g u } legt den Gruppenbereich fest: Lokal (in Domäne) (l), Global (g) oder Universal (u).

Verwalten von Gruppenmitgliedschaften Lektion 1: Erstellen und Verwalten von Gruppen 171 Zum Hinzufügen oder Entfernen von Mitgliedern zu bzw. aus einer Gruppe haben Sie viele Möglichkeiten. Sie können das Eigenschaftendialogfeld einer Gruppe öffnen und auf die Registerkarte Mitglieder klicken. Um ein Mitglied zu entfernen, wählen Sie einfach das Mitglied aus und klicken auf Entfernen. Klicken Sie zum Hinzufügen eines Mitglieds auf die Schaltfläche Hinzufügen. Das Dialogfeld Benutzer, Kontakte, Computer oder Gruppen wählen wird angezeigt, wie in Abbildung 4.5 dargestellt. Abbildung 4.5 Hinzufügen eines Mitglieds zu einer Gruppe Zu diesem Verfahren gibt es mehrere hilfreiche Tipps: Sie können im Auswahldialogfeld des Felds Geben Sie die zu verwendenden Objektnamen ein (Beispiele) mehrere Konten durch Semikolon getrennt eingeben. In Abbildung 4.5 wurden die Gruppen Vertrieb und Finanzen eingegeben. Als Trennzeichen wird ein Semikolon verwendet. Sie können auch nur Teilnamen von Konten eingeben, eine vollständige Namenseingabe ist nicht erforderlich. Windows durchsucht Active Directory nach Konten, die mit dem von Ihnen eingegebenen Namen beginnen. Wenn nur eine Übereinstimmung gefunden wird, nimmt Windows die Auswahl automatisch vor. Bei mehreren übereinstimmenden Konten wird das Dialogfeld Mehrere Namen gefunden angezeigt, in dem Sie das von Ihnen gewünschte Objekt auswählen können. Durch das verkürzte Verfahren der teilweisen Namenseingabe können Sie beim Hinzufügen von Mitgliedern zu einer Gruppe viel Zeit sparen, und es ist auch hilfreich, wenn Sie sich nicht mehr an den exakten Namen eines Mitglieds erinnern.

172 Kapitel 4 Gruppen Standardmäßig führt Windows nur Suchläufe für Benutzer und Gruppen durch, die eine Übereinstimmung mit den von Ihnen im Auswahlfeld eingegebenen Namen aufweisen. Wenn Sie einer Gruppe Computer hinzufügen möchten, müssen Sie auf die Schaltfläche Optionen klicken und Computer auswählen. Standardmäßig durchsucht Windows nur Domänengruppen. Wenn Sie lokale Konten hinzufügen möchten, klicken Sie im Auswahldialogfeld auf die Schaltfläche Pfade. Wenn Sie das hinzuzufügende Mitglied nicht ermitteln können, klicken Sie im Auswahldialogfeld auf die Schaltfläche Erweitert. Ein umfangreicheres Abfragefenster wird angezeigt, in dem Sie mehr Optionen zum Durchsuchen von Active Directory auswählen können. Sie können ein Objekt zu einer Gruppe auch im Snap-In Active Directory-Benutzer und -Computer hinzufügen, indem Sie die Eigenschaften für das Objekt öffnen und auf die Registerkarte Mitglied von klicken. Klicken Sie auf die Schaltfläche Hinzufügen, und wählen Sie die Gruppe aus. Sie können auch mit der rechten Maustaste auf ein oder mehrere ausgewählte Objekte klicken und die Option Einer Gruppe hinzufügen wählen. Die Attribute Member und MemberOf Beim Hinzufügen eines Mitglieds zu einer Gruppe nehmen Sie eine Änderung am Attribut member der Gruppe vor. Bei dem Attribut member handelt es sich um ein Mehrwertattribut. Jedes Mitglied entspricht einem Wert, der vom definierten Namen (Distinguished Name, DN) des Mitglieds dargestellt wird. Wenn das Mitglied verschoben oder umbenannt wird, nimmt Active Directory automatisch die Aktualisierung der Attribute member von den Gruppen vor, die das Mitglied umfassen. Beim Hinzufügen eines Mitglieds zu einer Gruppe, wird das Mitgliedsattribut memberof ebenfalls indirekt aktualisiert. Bei dem Attribut memberof handelt es sich um einen bestimmten Attributtyp, der auch als Backlink bezeichnet wird. Es wird von Active Directory aktualisiert, wenn das Forwardlink-Attribut, wie z.b. member, auf ein Objekt verweist. Beim Hinzufügen eines Mitglieds zu einer Gruppe nehmen Sie immer Änderungen am Attribut member vor. Daher nehmen Sie bei Verwendung der Registerkarte Mitglied von zum Hinzufügen eines Objekts zu einer Gruppe tatsächlich eine Änderung am Attribut member der Gruppe vor. Active Directory nimmt die Aktualisierung des Attributs memberof automatisch vor. Schnelles Übernehmen von Mitgliedschaftsänderungen Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, wird diese Mitgliedschaft nicht unmittelbar übernommen. Die Gruppenmitgliedschaft wird beim Anmelden eines Benutzers (oder beim Startvorgang eines Computers) ausgewertet. Daher ist eine Ab- und Anmeldung durch den Benutzer erforderlich, damit die Mitgliedschaftsänderungen in das Token des Benutzers übernommen werden.

Lektion 1: Erstellen und Verwalten von Gruppen 173 Darüber hinaus kann eine Verzögerung bei der Replikation der Gruppenmitgliedschaftsänderung auftreten. Die Replikation wird in Kapitel 11, Standorte und Replikation, ausführlich erläutert. Dies ist vor allem dann der Fall, wenn Ihr Unternehmen über mehrere Active Directory-Standorte verfügt. Sie können die Geschwindigkeit, mit der Änderungen für Benutzer übernommen werden, erhöhen, indem Sie die Änderungen an einem Domänencontroller am Standort des Benutzers vornehmen. Klicken Sie im Snap-In Active Directory- Benutzer und -Computer mit der rechten Maustaste auf die Domäne, und wählen Sie die Option Domänencontroller ändern. Entwickeln einer Gruppenverwaltungsstrategie Durch das Hinzufügen von Gruppen zu weiteren Gruppen, dem sogenannten Verschachteln, können Sie eine Gruppenhierarchie erstellen, die Ihre Geschäftsrollen und -regeln unterstützt. Nachdem Sie bereits die Geschäftszwecke und technischen Merkmale von Gruppen kennengelernt haben, ist es nun an der Zeit, diese in einer Strategie für die Gruppenverwaltung zu vereinen. Sie haben zuvor in dieser Lektion erfahren, welche Objekttypen Mitglieder jedes Gruppenbereichs sein können. Nun sollten die Objekttypen ermittelt werden, die Mitglieder jedes Gruppenbereichs sein sollten. Im Folgenden wird das bewährte Verfahren für die Gruppenverschachtelung beschrieben, das auch als KGDLZ bezeichnet wird: Konten (Benutzer- und Computeridentitäten) sind Mitglieder von Globalen Gruppen, die Geschäftsrollen darstellen. Diese Rollengruppen (globalen Gruppen) sind Mitglieder von Domänenlokalen Gruppen, die Verwaltungsregeln darstellen, für die z.b. für die Berechtigung Lesen die Option Zulassen für eine bestimmte Ordnersammlung aktiviert wurde. Diese Regelgruppen (domänenlokale Gruppen) werden Zugriffssteuerungslisten (Access Control List, ACL) hinzugefügt, über die die Zugriffsebene entsprechend der Regel bereitgestellt wird. In einer Gesamtstruktur mit mehreren Domänen gibt es auch universelle Gruppen, die zwischen globalen und domänenlokalen Gruppen einzuordnen sind. Globale Gruppen von mehreren Domänen sind Mitglieder einer einzelnen universellen Gruppe. Diese universelle Gruppe ist Mitglied der domänenlokalen Gruppen in mehreren Domänen. Sie können sich diese Verschachtelung über das Akronym KGUDLZ merken. Diese empfohlene Vorgehensweise zum Implementieren der Gruppenverschachtelung lässt sich besonders gut auf Umgebungen mit mehreren Domänen übertragen. Sehen Sie sich Abbildung 4.6 an. Dort wird eine Gruppenimplementierung angezeigt, die nicht nur die technische Ansicht der bewährten Verfahren zur Gruppenverwaltung (KGDLZ), sondern auch die Ansicht der rollenbasierten, regelbasierten Verwaltung aus geschäftlicher Sicht darstellt.

174 Kapitel 4 Gruppen Benutzer Benutzer Vertrieb (globale Gruppe) Buchprüfer (globale Gruppe) ACL_Vertriebsordner_Lesen (domänenlokale Gruppe) Contoso Lesen zulassen Vertriebsordner Abbildung 4.6 Implementierung einer Gruppenverwaltung Betrachten Sie das folgende Beispielszenario. In der Vertriebsabteilung des Unternehmens Contoso, Ltd. wurde gerade das Geschäftsjahr abgeschlossen. Vertriebsdateien vom Vorjahr befinden sich in einem Ordner mit dem Namen Vertrieb. Die Vertriebsmitarbeiter benötigen Lesezugriff auf den Ordner Vertrieb. Darüber hinaus benötigt ein Team von Abschlussprüfern der Woodgrove Bank, einem potenziellen Investor, ebenfalls Lesezugriff auf den Ordner Vertrieb, um die Buchprüfung durchführen zu können. Im Folgenden werden die notwendigen Schritte für die Implementierung der für dieses Szenario erforderlichen Sicherheit beschrieben: 1. Weisen Sie Benutzer mit gemeinsamen Verantwortlichkeiten oder Aufgabenbereichen Rollengruppen zu, die als globale Sicherheitsgruppen implementiert sind. Dieser Vorgang wird in jeder Domäne separat vorgenommen. Die Mitglieder der Vertriebsabteilung im Unternehmen Contoso werden der Rollengruppe Vertrieb hinzugefügt. Die Buchprüfer der Woodgrove Bank werden der Rollengruppe Buchprüfer hinzugefügt. 2. Erstellen Sie eine Gruppe zur Erfüllung der Geschäftsregel in Bezug auf den Lesezugriff für den Ordner Vertrieb. Die Implementierung erfolgt in der Domäne mit der Ressource, auf die die Regel angewendet wird. Im genannten Beispiel handelt es sich um die Domäne Contoso, in der sich der Ordner Vertrieb befindet. Die Regelgruppe wird als domänenlokale Gruppe erstellt.

Lektion 1: Erstellen und Verwalten von Gruppen 175 3. Fügen Sie die Rollengruppen, für die die Geschäftsregeln Anwendung finden, der Regelgruppe hinzu. Diese Gruppen können von jeder beliebigen Domäne in der Gesamtstruktur oder von einer vertrauten Domäne wie die der Woodgrove Bank stammen. Globale Gruppen von vertrauten externen Domänen oder von beliebigen Domänen in der gleichen Gesamtstruktur können Mitglieder einer domänenlokalen Gruppe sein. 4. Weisen Sie geeignete Berechtigungen zur Implementierung der erforderlichen Zugriffsebene zu. Gewähren Sie im Rahmen dieses Beispiels der domänenlokalen Gruppe die Berechtigung Lesen. Durch dieses Verfahren erhalten Sie einzelne Verwaltungspunkte, und das führt wiederum zu einem geringeren Verwaltungsaufwand. Es gibt einen Verwaltungspunkt, über den die Mitglieder der Gruppe Vertrieb und der Gruppe Buchprüfer definiert werden. Diese Rollen verfügen mit großer Wahrscheinlichkeit über Berechtigungen für mehr Ressourcen als den im Ordner Vertrieb enthaltenen. Für die Ermittlung der Personen, die über Lesezugriff auf den Ordner Vertrieb verfügen, gibt es einen weiteren einzelnen Verwaltungspunkt. Bei dem Ordner Vertrieb handelt es sich unter Umständen nicht um einen einzelnen Ordner auf einem einzelnen Server. Es könnte sich vielmehr um eine Ordnersammlung auf mehreren Servern handeln, und für die einzelne domänenlokale Gruppe muss für jeden dieser Ordner für die Berechtigung Lesen die Option Zulassen aktiviert werden. Übung: Erstellen und Verwalten von Gruppen In dieser Übung erstellen Sie Gruppen, experimentieren mit Gruppenmitgliedschaften und konvertieren Gruppentyp und -bereich. Bevor Sie die Teilübungen in dieser Übung durchführen, müssen die folgenden Objekte in der Domäne contoso.com erstellt werden: Eine OU erster Ebene namens Gruppen Eine OU erster Ebene namens Personal Benutzerobjekte in der OU Personal für Linda Mitchell, Scott Mitchell, Jeff Ford, Mike Fitzmaurice, Mike Danseglio und Tony Krijnen Teilübung 1 Erstellen von Gruppen In dieser Teilübung erstellen Sie Gruppen mit unterschiedlichen Gruppenbereichen und -typen. 1. Melden Sie sich als Administrator an SERVER01 an, und öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. Wählen Sie die OU Gruppen in der Konsolenstruktur. 2. Klicken Sie mit der rechten Maustaste auf die OU Gruppen, wählen Sie Neu und dann Gruppe. 3. Geben Sie in das Feld Gruppename Vertrieb ein.

176 Kapitel 4 Gruppen 4. Wählen Sie den Gruppenbereich Global und den Gruppentyp Sicherheit. Klicken Sie auf OK. 5. Klicken Sie mit der rechten Maustaste auf die Gruppe Vertrieb, und wählen Sie Eigenschaften. 6. Klicken Sie auf die Registerkarte Mitglieder. 7. Klicken Sie auf die Schaltfläche Hinzufügen. 8. Geben Sie Jeff; Tony ein, und klicken Sie auf OK. 9. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen. 10. Wiederholen Sie die Schritte 2 bis 4, um die beiden globalen Sicherheitsgruppen mit den Namen Marketing und Berater zu erstellen. 11. Wiederholen Sie die Schritte 2 bis 4, um eine domänenlokale Sicherheitsgruppe mit dem Namen ACL_Vertriebsordner_Lesen zu erstellen. 12. Öffnen Sie die Eigenschaften der Gruppe ACL_Vertriebsordner_Lesen. 13. Klicken Sie auf die Registerkarte Mitglieder. 14. Klicken Sie auf Hinzufügen. 15. Geben Sie Vertrieb;Marketing;Berater ein, und klicken Sie auf OK. 16. Klicken Sie auf Hinzufügen. 17. Geben Sie Linda ein, und klicken Sie auf OK. 18. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen. 19. Öffnen Sie das Eigenschaftendialogfeld der Gruppe Marketing. 20. Wählen Sie die Registerkarte Mitglieder, und klicken Sie auf die Schaltfläche Hinzufügen. 21. Geben Sie ACL_Vertriebsordner_Lesen ein, und klicken Sie auf OK. Sie können eine domänenlokale Gruppe nicht zu einer globalen Gruppe hinzufügen. 22. Wählen Sie in allen Dialogfeldern die Option Abbrechen. 23. Erstellen Sie auf Laufwerk C: einen Ordner mit dem Namen Vertrieb. 24. Klicken Sie mit der rechten Maustaste auf den Ordner Vertrieb, wählen Sie Eigenschaften, und klicken Sie auf die Registerkarte Sicherheit. 25. Klicken Sie auf Bearbeiten und dann auf Hinzufügen. 26. Klicken Sie auf Erweitert, und wählen Sie Jetzt suchen. Beachten Sie, dass Sie durch die Verwendung eines Präfixes für Gruppennamen, wie z.b. das Präfix ACL_ für Ressourcenzugriffsgruppen, die Gruppen schneller ermitteln können, da sie zu Beginn der Liste gruppiert aufgeführt werden. 27. Wählen Sie in allen Dialogfeldern die Option Abbrechen.

Lektion 1: Erstellen und Verwalten von Gruppen 177 28. Klicken Sie mit der rechten Maustaste auf Gruppen, wählen Sie Neu und dann Gruppe. 29. Geben Sie in das Feld Gruppenname Angestellte ein. 30. Wählen Sie für den Gruppenbereich Lokal (in Domäne) und für den Gruppentyp Verteilung. Klicken Sie auf OK. Teilübung 2 Konvertieren von Gruppentyp und -bereich In dieser Teilübung erfahren Sie, wie Sie Gruppentyp und -bereich konvertieren. 1. Klicken Sie mit der rechten Maustaste auf die Gruppe Angestellte, und wählen Sie Eigenschaften. 2. Ändern Sie den Gruppentyp in Verteilung. 3. Klicken Sie auf Übernehmen. Bedenken Sie folgende Fragen: Können Sie den Gruppenbereich von Lokal (in Domäne) in Global ändern? Auf welche Weise? 4. Ändern Sie den Gruppenbereich in Universal. Klicken Sie auf Übernehmen. 5. Ändern Sie den Gruppenbereich in Global. Klicken Sie auf Übernehmen. 6. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen. Zusammenfassung der Lektion Es wird zwischen zwei Gruppentypen unterschieden: Sicherheitsgruppen und Verteilergruppen. Sicherheitsgruppen können Berechtigungen zugewiesen werden, während Verteilergruppen vorwiegend als E-Mail-Verteilerlisten eingesetzt werden. Zusätzlich zu lokalen Gruppen, die nur in der lokalen SAM-Datenbank eines Domänenmitgliedservers gespeichert sind, gibt es drei weitere Domänengruppenbereiche: Global, Lokal (in Domäne) und Universal. Der Gruppenbereich hat Auswirkungen auf die Gruppenreplikation, die Objekttypen, die Mitglieder der Gruppe werden können, sowie die Verfügbarkeit der Gruppe für die Mitgliedschaft in anderen Gruppen oder ihrer Verwendung für Verwaltungsaufgaben wie z.b. dem Zuweisen von Berechtigungen. Sie können den Gruppentyp und -bereich nach dem Erstellen der Gruppe ändern. Lernzielkontrolle Anhand der folgenden Fragen können Sie Ihr Wissen in Bezug auf die in Lektion 1, Erstellen und Verwalten von Gruppen, vermittelten Lehrinhalte prüfen. Diese Fragen sind ebenfalls auf der Begleit-CD verfügbar, falls Sie die Überprüfung lieber in elektronischer Form durchführen möchten.

178 Kapitel 4 Gruppen Hinweis Antworten Antworten zu den gestellten Fragen sowie Erläuterungen dazu, weshalb die einzelnen Antwortmöglichkeiten richtig bzw. falsch sind, werden im Bereich Antworten am Ende dieses Buchs bereitgestellt. 1. Für ein neues Projekt ist es erforderlich, dass Benutzern in Ihrer Domäne und der Domäne einer Partnerorganisation Zugriff auf einen freigegebenen Ordner auf Ihrem Dateiserver erteilt wird. Welchen Gruppentyp sollten Sie erstellen, um den Zugriff auf den freigegebenen Ordner zu verwalten? A. Sicherheitsgruppe Universal B. Sicherheitsgruppe Lokal (in Domäne) C. Sicherheitsgruppe Global D. Verteilergruppe Lokal (in Domäne) 2. Ihre Domäne umfasst eine globale Verteilergruppe mit dem Namen Unternehmensaktualisierung. Diese wurde verwendet, um ihren Mitgliedern Unternehmensnachrichten per E-Mail zu senden. Sie möchten allen Mitgliedern den Newsletter zur Verfügung stellen, indem Sie einen freigegebenen Ordner auf einem Dateiserver erstellen. Wie gehen Sie vor, um allen Gruppenmitgliedern Zugriff auf den freigegebenen Ordner zu gewähren? A. Ändern des Gruppenbereichs in Lokal (in Domäne) B. Ändern des Gruppenbereichs in Universal C. Hinzufügen der Gruppe zur Gruppe Domänen-Benutzer D. Verwenden des Befehls Dsmod mit der Option secgrp yes 3. Sie haben in der Domäne contoso.com eine globale Sicherheitsgruppe mit dem Namen Leitende Angestellte des Unternehmens erstellt. Welche Mitglieder können Sie der Gruppe hinzufügen? (Wählen Sie alle zutreffenden Antworten aus.) A. Leitende Angestellte des Vertriebs, eine globale Gruppe in der Domäne fabrikam.com, bei der es sich um eine vertraute Domäne eines Partnerunternehmens handelt. B. Leitende Angestellte des Vertriebs, eine lokale Gruppe in der Domäne tailspintoys.com, bei der es sich um eine Domäne in der Gesamtstruktur der Domäne contoso.com handelt. C. Linda Mitchell, eine Benutzerin in der Domäne tailspintoys.com, bei der es sich um eine Domäne in der Gesamtstruktur der Domäne contoso.com handelt. D. Jeff Ford, ein Benutzer in der Domäne fabrikam.com, bei der es sich um eine vertraute Domäne eines Partnerunternehmens handelt.