• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Verschachtelung von Gruppen im AD

Mrz 1, 2019 (Letztes Update) | Posted by Marvin Poser Administration |

 

Verschachtelung von Gruppen im AD

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen Mitglied sein kann. Aus diesem Grund entschied ich mich, die Thematik einmal grafisch darzustellen. Interessant wird dies spätestens im Zusammenhang mit Universal Groups und domänenübergreifenden Gruppenmitgliedschaften, z.B. im Szenario trusted domain of the same forest oder trusted domain of another forest.

Inhaltsverzeichnis

  • 1 Verschachtelung von Domain Local Groups
  • 2 Verschachtelung von Global Groups
  • 3 Verschachtelung von Universal Groups
  • 4 Zusammenfassung

 

Hinweis zur Darstellung:

Um den Zusammenhang der Verschachtelung von Gruppen besser darzustellen, habe ich in den jeweiligen Grafiken nur die Verbindungen (Gruppenmitgliedschaften) der betreffenden Gruppe eingezeichnet. Am Ende des Artikels befindet sich ein Schaubild, das alle Verbindungen darstellt. Des Weiteren werden die Verbinder mit Farben dargstellte. Dabei sind die Verbinder von:

  • Benutzern dunkelblau
  • Domain Local Groups orange
  • Global Groups grün
  • Universal Groups hellblau

Verschachtelung von Domain Local Groups

Innerhalb der gleichen Domäne kann eine domänenlokale Gruppe Mitglied einer anderen (domänenlokalen) Gruppe sein.  Lokale Benutzer und Computer können ebenfalls Mitglieder dieser Gruppe sein. Dies würde wie folgt aussehen:

Verschachtelung domain-local-groups

Nun besteht die Möglichkeit, lokale Gruppen über eine trusted Domain of the same forest mit Benutzern oder Computer anderer Domänen zu verschachteln.

Verschachtelung domain-local-groups 2 Domänen

Wie in der Grafik zu erkennen, können Benutzer (oder auch Computer) aus der Domäne A Mitglieder einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch für die Benutzer in der Domäne B mit den Domain Local Groups in der Domäne A. Diese Aussagen treffen auch auf eine trusted Domain of another forest zu.

Verschachtelung von Global Groups

Bei Global Groups sieht es ein wenig anders aus. Innerhalb einer Domäne können Benutzer Mitglieder einer Globalen Gruppe werden. Globale Gruppen können Mitglieder von globalen Gruppen derselben Domäne werden. Des Weiteren kann eine globale Gruppe einer Domäne Mitglied einer oder mehreren Domain Local Groups derselben Domäne werden.

Verschachtelung global-groups

Bei globalen Gruppen besteht die Möglichkeit, über eine trusted Domain of the same forest Benutzer, Computer oder Domain Local Groups zu verschachteln.

Verschachtelung global-groups 2 Domänen

Wie in der Grafik zu erkennen, können die Benutzer (auch Computer) aus der Domäne A Mitglieder der Global Group der Domäne B werden. Zusätzlich kann eine globale Gruppe der Domäne A Mitglied einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch von der Domäne B in Domäne A. Diese Aussagen treffen für die entsprechenden Gruppen auf eine trusted Domain of another forest zu.

AD Gruppen - dynamicgroupJPG

Verschachtelung von Universal Groups

Bei den Universal Groups haben wir den Vorteil, dass fast jeder Mitglied dieser Gruppe werden kann. Benutzer derselben Domäne können Mitglied einer oder mehrerer Universal Groups sein sowie auch einer oder mehrerer Globalen Gruppen. Universal Groups können ebenso Mitglied einer oder mehreren Universal Groups innerhalb derselben Domäne sein.

Active-Directory-Verschatelung Universal Groups

Nun besteht die Möglichkeit, universelle Gruppen über eine trusted Domain of the same forest mit Benutzern, Computer, Domain Local Groups oder Global Groups zu verschachteln.

Verschachtelung universal-groups 2 Domänen

In dem oberen Schaubild ist zu sehen, dass Benutzer (auch Computer) aus der Domäne A Mitglieder einer oder mehreren Universal Groups der Domäne B werden können. Dies gilt auch für die Benutzer in der Domäne B mit den Universal Groups in der Domäne A. Zusätzlich können Globale Gruppen der Domäne A die Gruppenmitgliedschaft einer oder mehreren Universal Groups der Domäne B erhalten. Dies gilt auch von Domäne B nach Domäne A. Diese Aussagen treffen NICHT auch auf eine trusted Domain of another forest zu.

Zusammenfassung

Bisher wurden alle Gruppentypen einzeln betrachtet. Im Folgenden geht es darum, ein Gesamtbild zu zeigen.

Die Verschachtelung von Gruppen innerhalb einer Domäne:

Active-Directory-verschachtelte Gruppen-Uebersicht

In einem Szenario mit einer trusted domain of the same forest würden die Verbindungen dann wie folgt dargestellt werden.

Die Verschachtelung von Gruppen zwischen zwei Domänen:

Verschachtelung AD Gruppen Übersicht

Für die einzelnen Mitgliedschaften habe ich die Tabelle von meinem Kollegen Jens Künzler aus dem FAQ Artikel Group Nesting in Windows Domains sowie eine Tabelle aus dem TechNet zur Hilfe genommen.

Hier finden Sie weitere interessante Hinweise zum AD Design.


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting
| AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 20.04.2016
Tags: group nestingGruppenGruppenmitgliedschaftlokale Gruppenuniversal groupsVerschachtelung
3

You also might be interested in

Group Nesting

Group Nesting in Windows Domains

Sep 28, 2011

Ich habe heute eine Tabelle zum  Thema Active Directory Group[...]

Gruppenmitgliedschaften auswerten mit NTDSUTIL

Dez 9, 2011

Mit dem allseitsbeliebten Tool NTDSUTIL kann man auf sehr bequeme[...]

active-directory-temporaere-berechtigungen-min

Active Directory: Temporäre Berechtigungen

Apr 13, 2016

Eine alltägliche Situation für viele Administratoren stellt sich so dar:[...]

1 Comment

Leave your reply.
  • Kevin
    · Antworten

    8. Dezember 2020 at 11:30 AM

    Hi,

    einen sehr interessanter und leicht verständlicher Artikel…dachte ich zumindest.

    Vielleicht habe ich auch nur ein spezielles Problem, welches sich mit Update oder Upgrade lösen kann, aber ich frage vorher lieber mal nach.

    Ich habe vor alle Ordnerberechtigung nach folgenden Beispielprinzip zu organisieren:

    Ordnerberechtigung<-Lokale Grp<-Globale Grp<-Benutzer

    Leider greift diese Berechtigung nicht sofort.
    Überspringe ich die Lokale Grp, also setze die Globale Grp in die Berechtigung, greift es sofort.

    Ist es theoretisch möglich?
    Was mache ich falsch oder sollte ich ändern?

    Vielen Dank für Hilfe

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next