• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

Mai 6, 2019 (Letztes Update) | Posted by Steve König Administration, KnowHow, Konfiguration, Tools |

 

Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

In Microsofts Active Directory werden Gruppen verwendet, um Berechtigungen und Zugriffe für Nutzer zu verwalten. Ab einer gewissen Nutzeranzahl wird das zu einer langwierigen Daueraufgabe, die viele Administratoren teils täglich ausführen müssen.

Dynamische Gruppenmitgliedschaften senken den Administrationsaufwand und verhindern Überberechtigung. Microsoft stellt dafür keine Bordmittel zur Verfügung. Aus diesem Grund haben wir DynamicGroup entwickelt.

 

Inhaltsverzeichnis

  • 1 Warum sollte ich Gruppenmitgliedschaften automatisieren?
  • 2 Wie hilft mir DynamicGroup?
    • 2.1 Woher bekomme ich das Tool?
    • 2.2 Was brauche ich dafür?
  • 3 Wie lassen sich Gruppenmitgliedschaften automatisieren?
    • 3.1 Query-Builder
    • 3.2 Include- und Exclude-Listen
  • 4 Wie funktioniert der Service und wie kann ich ihn einstellen?
  • 5 Welche Funktionen hat DynamicGroup noch?
 

Warum sollte ich Gruppenmitgliedschaften automatisieren?

AD Gruppen werden oft verwendet um Berechtigungen auf Shares, Anwendungen oder Verteilerlisten zu vergeben.
Eine ganze Reihe von Prozessen, die Sie normalerweise per Hand ausführen müssten, können ohne manuelle Eingabe im Hintergrund ausgeführt werden.

Einige typische Beispiele:

  • Ein neuer Mitarbeiter wird eingestellt
  • Ein Mitarbeiter wechselt die Abteilung
  • Ein Mitarbeiter wechselt den Standort
  • Eine neue Software wird eingeführt
  • Ein Mitarbeiter benötigt für ein Kundenprojekt Berechtigungen auf ein Verzeichnis
  • weitere Einsatzmöglichkeiten für dynamische Gruppen

Jeder dieser Fälle hat Änderungen an Berechtigungen zur Folge. 

Dementsprechend nehmen Sie die Mitarbeiter in eine Gruppe auf oder entfernen Sie. Und diese Arbeiten müssen stets manuell durchgeführt werden.

Damit Sie viele dieser unternehmensspezifischen Prozesse automatisieren können, haben wir bei FirstAttribute DynamicGroup entwickelt und mit der 2015er Version weiter verbessert.

Wie hilft mir DynamicGroup?

DynamicGroup unterstützt Sie dabei, die täglichen Aufgaben der Benutzerverwaltung im Active Directory zu automatisieren. Die Software ermöglicht es Ihnen, ausgewählte Gruppen in Ihrer Struktur als dynamische Gruppen zu kennzeichnen und Mitglieder basierend auf Filtereinstellungen automatisch hinzufügen zu lassen.

Die Vorteile einer automatisierten Gruppenverwaltung:

  1. Zeitersparnis
    Die Administration wird entlastet und Routineaufgaben entfallen
  2. Vermeidung von Überberechtigung
    Bei einem Abteilungswechsel wird Mitarbeiter automatisch aus der alten Gruppe ausgetragen und in der neuen eingetragen.
    Überberechtigungen durch Gruppenverschachtelungen können durch FlatGroup aufgelöst werden.
  3. Eindeutige Berechtigungen
    Mit OU-Begrenzung, Attributsfiltern und Ausnahmelisten werden harte Kriterien für die Mitgliedschaft gesetzt.
  4. Bessere Übersicht
    Die Auflösung von verschachtelten Gruppen zeigt Ihnen, welche Mitglieder tatsächlich in Ihrer Gruppe enthalten und berechtigt sind.
     
DynamicGroup2015-Hauptfenster


Hauptfenster von DynamicGroup 2015

 

Woher bekomme ich das Tool?

Die Software können Sie auf unserer Webseite herunterladen. Dort finden Sie auch die Systemvoraussetzungen, die die beteiligten Systeme in Ihrem Netzwerk erfüllen sollten. 

Download

DynamicGroup kommt dabei mit einer 30-Tage-Lizenz, die es Ihnen ermöglicht, die Software vollumfänglich und ohne Einschränkungen in diesem Zeitraum zu testen.

Zusätzlich zum Installer erhalten Sie auch eine umfangreiche Dokumentation, die detailliert erklärt, wie Sie DynamicGroup Konsolen und Services installieren, einrichten und konfigurieren.

 

Was brauche ich dafür?

In der einfachsten Variante benötigen Sie nur einen Domain-Controller, auf dem beide Komponenten der Software installiert sind.

DynamicGroup besteht aus:

  • einer Oberfläche zur Verwaltung, der DynamicGroup Console, sowie
  • einem Service, dem DynamicGroup Implementor

Die Konsole lässt sich aber auch auf verschiedenen Clients in Ihrem Netzwerk installieren, je nachdem, wie viele Administratoren die Verwaltung übernehmen sollen. Auch vom Service können mehrere Instanzen existieren, die auf verschiedenen Servern in Ihrem Netzwerk installiert sind. Diese können unterschiedlich konfiguriert sein und sind für die automatisierte Berechnung der Gruppenmitgliedschaften im Hintergrund zuständig.

Die Einrichtung gestaltet sich dabei besonders einfach:
Einmal konfiguriert, werden die entsprechenden Einstellungen für Konsolen und Services zentral in Ihrem Active Directory hinterlegt. Auch die Einstellungen für die dynamischen Gruppen selbst werden direkt an den Gruppenobjekten im AD gespeichert. Die Zentralisierung stellt sicher, dass alle Administratoren auf demselben Stand sind. 
 

Wie lassen sich Gruppenmitgliedschaften automatisieren?

Um eine Gruppe automatisiert mit Mitgliedern zu befüllen, bietet Ihnen DynamicGroup viele verschiedene Einstellungsmöglichkeiten. Jede davon ist detailliert in der Dokumentation beschrieben. Im Zentrum stehen dabei ist der Query-Builder sowie die Include- und Exclude-Listen. Diese beiden Funktionen können jeweils eigenständig sowie in Kombination miteinander verwendet werden.
 

Query-Builder

Diese Kernkomponente von DynamicGroup gibt Ihnen die Möglichkeit, einen Filter frei zu definieren. Dieser wird angewendet, um eine Gruppe mit Mitgliedern zu befüllen. Dabei werden LDAP-Abfragen verwendet, um den Filter aufzubauen. Damit können Sie überprüfen, ob verschiedene Werte in bestimmten Attributen bei den potentiellen Gruppenmitgliedern vorhanden sind oder nicht. Diese Bedingungen können dabei beliebig oft und beliebig tief mit „UND“ oder „ODER“-Verknüpfungen kombiniert werden.

Dies LDAP-Query müssen Sie natürlich nicht von Hand selbst schreiben. Diese Möglichkeit haben Sie zwar auch, bequemer geht es jedoch mit dem Query-Builder. Die Baumstruktur gibt Ihnen einen lesbaren Überblick über die gesamte Abfrage und neue Bedingungen an entsprechenden Knoten hinzuzufügen gestaltet sich unkompliziert.

query-builder-ldap

Im Screenshot oben sehen Sie so eine beispielhafte Abfrage. Die ausgeschriebene LDAP-Query im unteren Teil ist recht unübersichtlich, doch mit der Baumstruktur wird sie einfach dargestellt. Man kann problemlos ablesen, welche Mitglieder die Gruppe aufnehmen soll: Alle Nutzer, die nicht in der OU „Users“ dieser Domäne liegen, die in der Abteilung „IT Administration“ sind und die entweder am Standort „Deutschland“ oder am Standort „Frankreich“ arbeiten, würde DynamicGroup dieser Gruppe hinzufügen.
 

Include- und Exclude-Listen

dynamic-group-include-exclude-list

Der Name dieser Funktionen sagt es eigentlich bereits aus: mit Hilfe dieser beiden Listen können Sie definieren, ob bestimmte Nutzer oder Gruppen immer bzw. niemals Mitglied der dynamischen Gruppe sein sollen. Diese Einstellung gilt dabei immer, unabhängig von anderen Filtern, die festgelegt werden.

Das ist an sich noch statisch, aber für feste Regelungen, die Sie treffen wollen, gut geeignet. Sie können so zum Beispiel einfach festlegen, dass alle Mitglieder der Gruppe „Helpdesk“ auch Mitglied der dynamischen Gruppe, die beispielsweise Zugriff auf Ihr Ticketsystem gewährt, sein sollen. Oder Sie schließen bestimmte Gruppen und Nutzer explizit aus, die keinen Zugriff erhalten sollen. Das ist besonders nützlich in Verbindung mit ihren eigenen Abfragen – und für diese brauchen Sie den Query-Builder. Doch wie lassen sich Updates der Gruppenmitgliedschaften automatisieren?
 

Wie funktioniert der Service und wie kann ich ihn einstellen?

service-zeitgesteuerte-gruppen

Der DynamicGroup Implementor Service ist für die Automatisierung zuständig. Sie können dabei mehrere Dienste auf verschiedene Rechner im Netzwerk verteilen und bspw. die Zuständigkeiten für bestimmte Domain-Controller unter ihnen aufteilen. Bei jedem zeitgesteuerten Durchlauf eines Dienstes durchsucht dieser ihr AD nach dynamischen Gruppen und fügt die Mitglieder entsprechend der Filter-Einstellungen oder entfernt diese.

Die Dienste selbst können sie dabei individuell über die Konsole konfigurieren. So können Sie zum Beispiel festlegen, ob die dynamischen Gruppen zu bestimmten Zeiten oder in einem festgelegten Zeitintervall neu kalkuliert werden sollen und mit welchem Domain-Controller der Dienst sich bevorzugt verbinden soll.

event-log

Jeder Service bringt zudem auch Zugriff auf sein jeweiliges EventLog mit, sodass Sie immer sofort nachvollziehen können, welche Änderungen er an dynamischen Gruppen vorgenommen hat und welche Fehler eventuell aufgetreten sind.

Alle Veränderungen an Attributen von Benutzern, können nun Auswirkungen auf Gruppenmitgliedschaften haben (wenn ein entsprechner Filter einer dynamischen Gruppen gesetzt wurde).
 

Welche Funktionen hat DynamicGroup noch?

Die Software biete noch viele weitere Funktionen – so zum Beispiel können Sie eigene Saved Queries erstellen, mit denen Sie leicht den Überblick über ihre dynamischen Gruppen behalten können. Dynamische Gruppen sind zudem natürlich auch normale AD-Gruppen. Deswegen integriert DynamicGroup auch standardmäßig AD-Funktionalität: Sie können Gruppen und OUs anlegen, sie wieder löschen, die Administrationszuständigkeit ändern oder sie als Mitglieder zu anderen Gruppen hinzufügen.

Auch bei der Bildung von dynamischen Gruppen können Sie noch weiteren Einfluss nehmen. Sie möchten nur Member einer bestimmten OU suchen? Ändern Sie einfach die Search-Root. Sie möchten keine Gruppen als Mitglieder hinzufügen, sondern nur Nutzer? Aktivieren sie die Flat Groups-Einstellung, und alle gefilterten Gruppen werden solange rekursiv aufgelöst, bis nur noch Nutzer übrig sind.

Alle weiteren Einstellungen finden Sie natürlich auch in der Dokumentation.

 


FirstAttribute AG

DynamicGroup ist ein Produkt der FirstAttribute AG.
  Die Software wurde in Zusammenarbeit mit AD Admins entwickelt.

    Sie planen Veränderungen an Ihrem AD? 
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 24.09.2015
Tags: AD Automationdynamicgroupdynamische GruppengruGruppenGruppenmitgliedschaft
0

You also might be interested in

temporaere-berechtigungen-mit-server-2016

Active Directory: Temporäre Berechtigungen mit Server 2016

Apr 26, 2016

In meinem vorangegangenen Artikel habe ich beschrieben, wie sich temporäre[...]

IsMember-PowerShell

IsMember – Gruppenmitgliedschaft des Benutzers prüfen

Jul 21, 2016

Die Powershell-Funktion „IsMember“ überprüft, ob der Skript-ausführende Anwender Mitglied einer[...]

active-directory-temporaere-berechtigungen-min

Active Directory: Temporäre Berechtigungen

Apr 13, 2016

Eine alltägliche Situation für viele Administratoren stellt sich so dar:[...]

1 Comment

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next