Verschachtelung von Gruppen im AD

(Letztes Update) | Posted by | Administration |

 

Verschachtelung von Gruppen im AD

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen Mitglied sein kann. Aus diesem Grund entschied ich mich, die Thematik einmal grafisch darzustellen. Interessant wird dies spätestens im Zusammenhang mit Universal Groups und domänenübergreifenden Gruppenmitgliedschaften, z.B. im Szenario trusted domain of the same forest oder trusted domain of another forest.

 

Hinweis zur Darstellung:

Um den Zusammenhang der Verschachtelung von Gruppen besser darzustellen, habe ich in den jeweiligen Grafiken nur die Verbindungen (Gruppenmitgliedschaften) der betreffenden Gruppe eingezeichnet. Am Ende des Artikels befindet sich ein Schaubild, das alle Verbindungen darstellt. Des Weiteren werden die Verbinder mit Farben dargstellte. Dabei sind die Verbinder von:

  • Benutzern dunkelblau
  • Domain Local Groups orange
  • Global Groups grün
  • Universal Groups hellblau

Verschachtelung von Domain Local Groups

Innerhalb der gleichen Domäne kann eine domänenlokale Gruppe Mitglied einer anderen (domänenlokalen) Gruppe sein.  Lokale Benutzer und Computer können ebenfalls Mitglieder dieser Gruppe sein. Dies würde wie folgt aussehen:

Verschachtelung domain-local-groups

Nun besteht die Möglichkeit, lokale Gruppen über eine trusted Domain of the same forest mit Benutzern oder Computer anderer Domänen zu verschachteln.

Verschachtelung domain-local-groups 2 Domänen

Wie in der Grafik zu erkennen, können Benutzer (oder auch Computer) aus der Domäne A Mitglieder einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch für die Benutzer in der Domäne B mit den Domain Local Groups in der Domäne A. Diese Aussagen treffen auch auf eine trusted Domain of another forest zu.

Verschachtelung von Global Groups

Bei Global Groups sieht es ein wenig anders aus. Innerhalb einer Domäne können Benutzer Mitglieder einer Globalen Gruppe werden. Globale Gruppen können Mitglieder von globalen Gruppen derselben Domäne werden. Des Weiteren kann eine globale Gruppe einer Domäne Mitglied einer oder mehreren Domain Local Groups derselben Domäne werden.

Verschachtelung global-groups

Bei globalen Gruppen besteht die Möglichkeit, über eine trusted Domain of the same forest Benutzer, Computer oder Domain Local Groups zu verschachteln.

Verschachtelung global-groups 2 Domänen

Wie in der Grafik zu erkennen, können die Benutzer (auch Computer) aus der Domäne A Mitglieder der Global Group der Domäne B werden. Zusätzlich kann eine globale Gruppe der Domäne A Mitglied einer oder mehreren Domain Local Groups der Domäne B werden. Dies gilt auch von der Domäne B in Domäne A. Diese Aussagen treffen für die entsprechenden Gruppen auf eine trusted Domain of another forest zu.

AD Gruppen - dynamicgroupJPG

Verschachtelung von Universal Groups

Bei den Universal Groups haben wir den Vorteil, dass fast jeder Mitglied dieser Gruppe werden kann. Benutzer derselben Domäne können Mitglied einer oder mehrerer Universal Groups sein sowie auch einer oder mehrerer Globalen Gruppen. Universal Groups können ebenso Mitglied einer oder mehreren Universal Groups innerhalb derselben Domäne sein.

Active-Directory-Verschatelung Universal Groups

Nun besteht die Möglichkeit, universelle Gruppen über eine trusted Domain of the same forest mit Benutzern, Computer, Domain Local Groups oder Global Groups zu verschachteln.

Verschachtelung universal-groups 2 Domänen

In dem oberen Schaubild ist zu sehen, dass Benutzer (auch Computer) aus der Domäne A Mitglieder einer oder mehreren Universal Groups der Domäne B werden können. Dies gilt auch für die Benutzer in der Domäne B mit den Universal Groups in der Domäne A. Zusätzlich können Globale Gruppen der Domäne A die Gruppenmitgliedschaft einer oder mehreren Universal Groups der Domäne B erhalten. Dies gilt auch von Domäne B nach Domäne A. Diese Aussagen treffen NICHT auch auf eine trusted Domain of another forest zu.

Zusammenfassung

Bisher wurden alle Gruppentypen einzeln betrachtet. Im Folgenden geht es darum, ein Gesamtbild zu zeigen.

Die Verschachtelung von Gruppen innerhalb einer Domäne:

Active-Directory-verschachtelte Gruppen-Uebersicht

In einem Szenario mit einer trusted domain of the same forest würden die Verbindungen dann wie folgt dargestellt werden.

Die Verschachtelung von Gruppen zwischen zwei Domänen:

Verschachtelung AD Gruppen Übersicht

Für die einzelnen Mitgliedschaften habe ich die Tabelle von meinem Kollegen Jens Künzler aus dem FAQ Artikel Group Nesting in Windows Domains sowie eine Tabelle aus dem TechNet zur Hilfe genommen.

Hier finden Sie weitere interessante Hinweise zum AD Design.

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD ConsultingAD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel erstellt am: 20.04.2016
Tags:

You also might be interested in

IsMember – Gruppenmitgliedschaft des Benutzers prüfen

IsMember – Gruppenmitgliedschaft des Benutzers prüfen

Die Powershell-Funktion "IsMember" überprüft, ob der Skript-ausführende Anwender Mitglied einer[...]

Gruppenmitgliedschaften auswerten mit NTDSUTIL

Mit dem allseitsbeliebten Tool NTDSUTIL kann man auf sehr bequeme[...]

Inkonsistente Berechtigungen im Global Catalog

Inkonsistente Berechtigungen im Global Catalog

Wer mit Hilfe von Active Directory Gruppen Berechtigungen auf Ressourcen[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

AD Gruppen dynamisch machen

© 2019 · Active-Directory-FAQ by firstattribute.com