Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt. Diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Lokale Gruppen:
Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Gruppe hat folgende Eigenschaften:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden

• Zugriff auf Ressourcen in einer Domäne
Über eine lokale Domänengruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in der gleichen Domäne befindet, wie die lokale Gruppe
Globale Gruppen:
Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren. Eine globale Gruppe hat folgende Merkmale:

• Eingeschränkte Mitgliedschaften
Nur Personen aus der gleichen Domäne können in die Gruppe aufgenommen werden.

•Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden

Universelle Gruppen:
Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden
• Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden
• Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden, und sie können in deren ACL (Access Control Lists) auftauchen. Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft, und alle Benutzerrechte werden hiermit geregelt.


Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst, wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

Zwei Modi (Mixed/Native Mode)
Will man jetzt betrachten, welche Gruppe in anderen Gruppen aufgenommen werden kann, muss man einen wichtigen Punkt beachten. Je nachdem, in welchem Modus Windows betrieben wird, unterscheidet sich diese Übersicht.

Arbeitet Windows noch im so genannten “gemischten Modus – Mixed Mode” (Windows und NT BDC Server werden noch zusammen eingesetzt) oder im “einheitlichen Modus . Native Mode” (nur noch Windows Server werden eingesetzt) (weitere Infos unter “Gemischter und einheitlicher Modus”). Da sich im “gemischten Modus” der NT BDC noch mit dem Windows FSMO abgleichen muss (dieser übernimmt die Rolle des PDC), müssen auch die Gruppen die Regeln von Windows NT beachten.

Gemischter Modus (Mixed Mode):
mixmode
Im gemischten Modus gibt es die Gruppenart “universell nicht!

Einheitlicher Modus (Native Mode):
nativmode

Berechtigungsvergabe:

A – G – DL – P Prinzip
Accounts go in Global Groups nested in Domain Local Groups that are granted Permissions.

Links:
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1147.htm

Share