Verschachtelung von Gruppen im AD

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen Mitglied sein kann. Aus diesem Grund entschied ich mich, die Thematik einmal grafisch darzustellen. Interessant wird dies spätestens im Zusammenhang mit Universal Groups und domänenübergreifenden Gruppenmitgliedschaften, z.B. im Szenario trusted domain of the same forest oder trusted domain of another forest.

Index

Hinweis zur Darstellung:

Um den Zusammenhang der Verschachtelung von Gruppen besser darzustellen, habe ich in den jeweiligen Grafiken nur die Verbindungen (Gruppenmitgliedschaften) der betreffenden Gruppe eingezeichnet. Am Ende des Artikels befindet sich ein Schaubild, das alle Verbindungen darstellt. Des Weiteren werden die Verbinder mit Farben dargstellte. Dabei sind die Verbinder von:

Benutzern dunkelblau
Domain Local Groups orange
Global Groups grün
Universal Groups hellblau

Verschachtelung von Domain Local Groups

Innerhalb der gleichen Domäne kann eine domänenlokale Gruppe Mitglied einer anderen (domänenlokalen) Gruppe sein. Lokale Benutzer und Computer können ebenfalls Mitglieder dieser Gruppe sein. Dies würde wie folgt aussehen:

Nun besteht die Möglichkeit, lokale Gruppen über eine trusted Domain of the same forest mit Benutzern oder Computer anderer Domänen zu verschachteln.

Wie in der Grafik zu erkennen, können Benutzer (oder auch Computer) aus der Domäne A Mitglieder einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch für die Benutzer in der Domäne B mit den Domain Local Groups in der Domäne A. Diese Aussagen treffen auch auf eine trusted Domain of another forest zu.

Verschachtelung von Global Groups

Bei Global Groups sieht es ein wenig anders aus. Innerhalb einer Domäne können Benutzer Mitglieder einer Globalen Gruppe werden. Globale Gruppen können Mitglieder von globalen Gruppen derselben Domäne werden. Des Weiteren kann eine globale Gruppe einer Domäne Mitglied einer oder mehreren Domain Local Groups derselben Domäne werden.

Bei globalen Gruppen besteht die Möglichkeit, über eine trusted Domain of the same forest Benutzer, Computer oder Domain Local Groups zu verschachteln.

Wie in der Grafik zu erkennen, können die Benutzer (auch Computer) aus der Domäne A nur Mitglieder einer Global Group aus derselben Domäne, der Domäne A, werden. Zusätzlich kann eine globale Gruppe der Domäne A Mitglied einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch von der Domäne B in Domäne A. Diese Aussagen treffen für die entsprechenden Gruppen auf eine trusted Domain of another forest zu.

Verschachtelung von Universal Groups

Bei den Universal Groups haben wir den Vorteil, dass fast jeder Mitglied dieser Gruppe werden kann. Benutzer derselben Domäne können Mitglied einer oder mehrerer Universal Groups sein sowie auch einer oder mehrerer Globalen Gruppen. Universal Groups können ebenso Mitglied einer oder mehreren Universal Groups innerhalb derselben Domäne sein.

Nun besteht die Möglichkeit, universelle Gruppen über eine trusted Domain of the same forest mit Benutzern, Computer, Domain Local Groups oder Global Groups zu verschachteln.

In dem oberen Schaubild ist zu sehen, dass Benutzer (auch Computer) aus der Domäne A Mitglieder einer oder mehreren Universal Groups der Domäne B werden können. Dies gilt auch für die Benutzer in der Domäne B mit den Universal Groups in der Domäne A. Zusätzlich können Globale Gruppen der Domäne A die Gruppenmitgliedschaft einer oder mehreren Universal Groups der Domäne B erhalten. Dies gilt auch von Domäne B nach Domäne A. Diese Aussagen treffen NICHT auch auf eine trusted Domain of another forest zu.

Zusammenfassung

Bisher wurden alle Gruppentypen einzeln betrachtet. Im Folgenden geht es darum, ein Gesamtbild zu zeigen.

Die Verschachtelung von Gruppen innerhalb einer Domäne:

In einem Szenario mit einer trusted domain of the same forest würden die Verbindungen dann wie folgt dargestellt werden.

Die Verschachtelung von Gruppen zwischen zwei Domänen:

Für die einzelnen Mitgliedschaften habe ich die Tabelle von meinem Kollegen Jens Künzler aus dem FAQ Artikel Group Nesting in Windows Domains sowie eine Tabelle aus dem TechNet zur Hilfe genommen.

Hier finden Sie weitere interessante Hinweise zum AD Design.

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel weiterempfehlen:

Artikel erstellt am: 20.04.2016

Kevin

· Antworten

8. Dezember 2020 at 11:30 AM

Hi,

einen sehr interessanter und leicht verständlicher Artikel…dachte ich zumindest.

Vielleicht habe ich auch nur ein spezielles Problem, welches sich mit Update oder Upgrade lösen kann, aber ich frage vorher lieber mal nach.

Ich habe vor alle Ordnerberechtigung nach folgenden Beispielprinzip zu organisieren:

Ordnerberechtigung<-Lokale Grp<-Globale Grp<-Benutzer

Leider greift diese Berechtigung nicht sofort.
Überspringe ich die Lokale Grp, also setze die Globale Grp in die Berechtigung, greift es sofort.

Ist es theoretisch möglich?
Was mache ich falsch oder sollte ich ändern?

Vielen Dank für Hilfe

1 Comment

Leave your reply.

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise. Unsere Datenschutzerklärung finden Sie hier: https://www.active-directory-faq.de/datenschutzerklaerung/

Wer schreibt ?

Empfohlene Beiträge

Unsere Software-Lösungen