Best Practice Berechtigungsgruppen Typ im AD

migRaven erzeugt auf Wunsch alle Gruppen für die Berechtigungen im Filesystem im Active Directory. Nachfolgend eine kurze Anleitung/Empfehlung für die richtige Auswahl.

Diese drei Typen stehen zur Auswahl:

– domänen lokale Gruppen,
– universelle Gruppen und
– globale Gruppen.

Für die Wahl des richtigen Gruppentyps ist ausschlaggebend, ob Sie mit einer oder mit mehreren Domänen arbeiten und welchen Gruppentyp Ihre Nutzergruppen haben. Die zur Auswahl stehenden Gruppen unterscheiden sich darin, welche Gruppen sie aufnehmen können, ob sie Gruppen aus anderen Domänen aufnehmen können und wieviel Byte eine Gruppe im Anmelde-Token (Tokensize-Problem) belegt.

Nur eine Domäne

Bei nur einer Domäne sind globale oder universelle Gruppen sinnvoll, beide belegen nur 8 Byte im Kerberos-Token und können globale Gruppen, den üblichen Typ für Nutzergruppen, aufnehmen. Globale Gruppen können nur globale Gruppen aufnehmen. Wollen Sie sich für diese entscheiden, kontrollieren Sie bitte, ob alle Ihre Nutzergruppen globale sind. Universelle Gruppen haben den Vorteil, dass sie neben globalen auch universelle Gruppen aufnehmen können, und beide auch aus Subdomänen. Der wesentliche Nachteil der domänen lokalen Gruppen ist, dass sie 40 Byte im Anmelde-Token belegen.

Mehrere Domänen in einem Forest

Bei der Arbeit mit mehreren Domänen in einer Gesamtstruktur (Forest) sind globale Gruppen als Berechtigungsgruppen ungeeignet, da sie keine Gruppen aus anderen Domänen aufnehmen können. Hier sind domänen lokale und universelle Gruppen nutzbar. Universelle Gruppen aus anderen Domänen belegen 40 Byte im Kerberos-Token, lokale Gruppen belegen immer 40 Byte. Ein Nachteil der universellen Gruppen könnte sein, dass sie sich im globalen Katalog der Gesamtstruktur replizieren und damit die Last erhöhen.

Einbindung externer sich vertrauender Forests bzw. Domänen

Bei der Arbeit mit externen sich vertrauenden Domänen sind nur domänen lokale Gruppen als Berechtigungsgruppen nutzbar. Universelle Gruppen können Mitglieder aus allen Domänen des Forests aufnehmen, aber nicht aus externen sich vertrauenden Domänen.

Gruppenverschachtelungen über Subdomänen und fremde Forests mit Vertrauensstellung
Gruppenverschachtelungen über Subdomänen und fremde Forests mit Vertrauensstellung

Bild Gruppenverschachtelungen: Hier wird dargestellt, welche Nutzergruppenarten in welche Berechtigungsgruppenarten verschachtelt werden können. Es ist gut zu erkennen, welchen Einfluß die Verwendung von Subdomänen und fremden Forests mit Vertrauensstellung auf die Auswahl der geeigneten Gruppenart für die Berechtigungsgruppen hat.

Permanentlink zu diesem Beitrag: http://help.migraven.com/best-practice-berechtigungsgruppen-typ-im-ad/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.