Verschachtelung von Gruppen im AD

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen Mitglied sein kann. Aus diesem Grund entschied ich mich, die Thematik einmal grafisch darzustellen. Interessant wird dies spätestens im Zusammenhang mit Universal Groups und domänenübergreifenden Gruppenmitgliedschaften, z.B. im Szenario trusted domain of the same forest oder trusted domain of another forest.

Hinweis zur Darstellung:

Um den Zusammenhang der Verschachtelung von Gruppen besser darzustellen, habe ich in den jeweiligen Grafiken nur die Verbindungen (Gruppenmitgliedschaften) der betreffenden Gruppe eingezeichnet. Am Ende des Artikels befindet sich ein Schaubild, das alle Verbindungen darstellt. Des Weiteren werden die Verbinder mit Farben dargstellte. Dabei sind die Verbinder von:

• Benutzern dunkelblau
• Domain Local Groups orange
• Global Groups grün
• Universal Groups hellblau

Verschachtelung von Domain Local Groups

Innerhalb der gleichen Domäne kann eine domänenlokale Gruppe Mitglied einer anderen (domänenlokalen) Gruppe sein.  Lokale Benutzer und Computer können ebenfalls Mitglieder dieser Gruppe sein. Dies würde wie folgt aussehen:

Nun besteht die Möglichkeit, lokale Gruppen über eine trusted Domain of the same forest mit Benutzern oder Computer anderer Domänen zu verschachteln.

Wie in der Grafik zu erkennen, können Benutzer (oder auch Computer) aus der Domäne A Mitglieder einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch für die Benutzer in der Domäne B mit den Domain Local Groups in der Domäne A. Diese Aussagen treffen auch auf eine trusted Domain of another forest zu.

Verschachtelung von Global Groups

Bei Global Groups sieht es ein wenig anders aus. Innerhalb einer Domäne können Benutzer Mitglieder einer Globalen Gruppe werden. Globale Gruppen können Mitglieder von globalen Gruppen derselben Domäne werden. Des Weiteren kann eine globale Gruppe einer Domäne Mitglied einer oder mehreren Domain Local Groups derselben Domäne werden.

Bei globalen Gruppen besteht die Möglichkeit, über eine trusted Domain of the same forest Benutzer, Computer oder Domain Local Groups zu verschachteln.

Wie in der Grafik zu erkennen, können die Benutzer (auch Computer) aus der Domäne A Mitglieder der Global Group der Domäne B werden. Zusätzlich kann eine globale Gruppe der Domäne A Mitglied einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch von der Domäne B in Domäne A. Diese Aussagen treffen für die entsprechenden Gruppen auf eine trusted Domain of another forest zu.

Verschachtelung von Universal Groups

Bei den Universal Groups haben wir den Vorteil, dass fast jeder Mitglied dieser Gruppe werden kann. Benutzer derselben Domäne können Mitglied einer oder mehrerer Universal Groups sein sowie auch einer oder mehrerer Globalen Gruppen. Universal Groups können ebenso Mitglied einer oder mehreren Universal Groups innerhalb derselben Domäne sein.

Nun besteht die Möglichkeit, universelle Gruppen über eine trusted Domain of the same forest mit Benutzern, Computer, Domain Local Groups oder Global Groups zu verschachteln.

In dem oberen Schaubild ist zu sehen, dass Benutzer (auch Computer) aus der Domäne A Mitglieder einer oder mehreren Universal Groups der Domäne B werden können. Dies gilt auch für die Benutzer in der Domäne B mit den Universal Groups in der Domäne A. Zusätzlich können Globale Gruppen der Domäne A die Gruppenmitgliedschaft einer oder mehreren Universal Groups der Domäne B erhalten. Dies gilt auch von Domäne B nach Domäne A. Diese Aussagen treffen NICHT auch auf eine trusted Domain of another forest zu.

Zusammenfassung

Bisher wurden alle Gruppentypen einzeln betrachtet. Im Folgenden geht es darum, ein Gesamtbild zu zeigen.

Die Verschachtelung von Gruppen innerhalb einer Domäne:

In einem Szenario mit einer trusted domain of the same forest würden die Verbindungen dann wie folgt dargestellt werden.

Die Verschachtelung von Gruppen zwischen zwei Domänen:

Für die einzelnen Mitgliedschaften habe ich die Tabelle von meinem Kollegen Jens Künzler aus dem FAQ Artikel Group Nesting in Windows Domains sowie eine Tabelle aus dem TechNet zur Hilfe genommen.

Hier finden Sie weitere interessante Hinweise zum AD Design.