• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Dynamische OU Gruppen – OU Berechtigung im AD

Mai 22, 2019 (Letztes Update) | Posted by Bernhard Wagner Administration |

 

Dynamische OU Gruppen – OU Berechtigung im AD

Berechtigungen an OUs zu vergeben, würde die Administration oft vereinfachen. Besonders nach Migrationen ist dies interessant.
In diesem Artikel zeigen wir Ihnen, wie Sie selbstpflegende OU Gruppen für die Arbeit mit Active Directory erstellen und nutzen.

Inhaltsverzeichnis

  • 1 Dynamische Gruppen im AD
    • 1.1 Einsatz von OU Gruppen
  • 2 Dynamische OU Gruppe für genau eine OU
    • 2.1 Neue Gruppe erstellen
    • 2.2 Normale Gruppe in eine Dynamische Gruppen ändern
    • 2.3 Benutzer auswählen und überprüfen
  • 3 Mehrere OUs in eine dynamische Gruppe integrieren
    • 3.1 Erstellen einer Gruppe aus mehreren OUs mit DynamicGroup
    • 3.2 OU Filter
    • 3.3 Hauptabfrage für die dynamische Gruppe erstellen

Dynamische Gruppen im AD

Mit dynamischen Gruppen werden Gruppenmitgliedschaften automatisch vergeben. Dies geschieht auf Basis von Kriterien, die Sie selbst definieren. Auf diese Weise können Sie Berechtigungen automatisiert vergeben. Microsoft bietet im AD (fast) keine Möglichkeiten für dynamische Gruppen an. FirstAttribute, die Macher von Active-Directory-FAQ, haben aus diesem Grund das Werkzeug DynamicGroup entwickelt.

In diesem Artikel geht es darum, wie Sie die Vorteile dynamischer OU Gruppen nutzen können.

Weiterführende Artikel:
In Dynamische Gruppenmitgliedschaften erfahren Sie mehr zu den Grundlagen oder den vielfältigen Einsatzmöglichkeiten.

Vorteile dynamischer Gruppen

Dynamische Gruppen werden vor allem aus drei Gründen verwendet:

  1. Zeitersparnis
    Standardabläufe wie Gruppenadministration sind zeitraubend. Die automatische Vergabe von Berechtigungen schafft mehr Zeit für die Systembetreuung.
  2. Sicherheit
    Automatisiertes Hinzufügen und Entfernen von Berechtigungen verhindert Überberechtigungen. So kann nicht vergessen werden, eine Berechtigung wieder zu entziehen.
  3. Fehlervermeidung
    Falschzuordnungen oder ein versehentliches Vergessen von Berechtigungen werden durch dynamische Gruppen verhindert.

Im Folgenden sehen Sie, wie Sie mit wenigen Schritten die komplexe OU Struktur ihres ADs nutzen können, um darauf basierend Berechtigungen zu vergeben. Sie erstellen dynamische Gruppen schnell, sicher und effektiv mit FirstWare-DynamicGroup.

Einsatz von OU Gruppen

Während in Novell eDirectory Berechtigungen auch direkt auf OUs vergeben werden können, ist dies in Active Directory nicht möglich. Organisationen, die das Konzept Ihres Verzeichnisdienstes beibehalten wollen, benötigen hierfür OU Gruppen. Idealerweise aktualisieren sich diese selbst. Hier kommen dynamische OU Gruppen ins Spiel.

Berechtigungen auf OU Ebene zu vergeben, wird durch dynamische OU Gruppen in Active Directory möglich.

 

Dynamische OU Gruppe für genau eine OU

Im ersten Beispiel geht es um die 1:1 Abbildung einer OU auf eine Gruppe. Die Mitglieder dieser Gruppe sollen gleich aller (Benutzer-)Objekte der OU sein. Veränderungen in der OU Struktur werden durch ein festgelegtes Service-Intervall (minütlich, täglich etc) automatisch in die Gruppe übernommen.

Mittels dieser Gruppe können Sie unkompliziert und schnell Berechtigungen an alle Objekte einer OU vergeben. Sie müssen nicht jedes Objekt einzeln bearbeiten. Und so richten Sie eine dynamische Gruppe für genau eine Organizational Unit ein (OU Group) ein:
 

Neue Gruppe erstellen

Erstellen Sie eine neue Gruppe und geben Sie ihr den Namen OU-US-BOS-Users für

„OU Gruppe für alle User aus Boston“.

Eine OU neue Dynamische Gruppe erstellen

 

Normale Gruppe in eine Dynamische Gruppen ändern

Eine OU neue Dynamische Gruppe dynamisieren
Als nächstes klicken sie auf „Enable“ und ändern den Gruppentyp unter dem Reiter „General“. Einfach die Option dynamische Gruppe aktivieren. Dadurch sehen Sie eine Reihe neuer Tabs mit neuen Funktionen, die Sie für die nächsten Schritte brauchen werden.

 

Für die weiteren Beispiele müssen Sie die Query Settings jeweils individuell anpassen. In dem vorliegenden Fall reicht jedoch ein Klick auf den Tab „Member Query“ vollkommen aus.
Eine OU neue Dynamische Gruppe Member query

 

Benutzer auswählen und überprüfen

Eine OU neue Dynamische Gruppe Preview

Im dritten Schritt wählen Sie die gewünschten User aus, die in die Gruppe integriert werden sollen. Als Quelle hierfür dient die so genannte Search-Root. Dabei legen Sie individuell fest, an welchem Ort ihres Active Directorys nach den Benutzern gesucht werden soll. Corp – US – BOS – Users wäre es hier. In diesem Beispiel sind Search-Root und Ziel-OU zufällig identisch bezeichnet. Mit der Preview können Sie sich anschließend einen konkreten Überblick verschaffen.

Nachdem sie Ihre Auswahl mit „Apply“ bestätigt haben, erzeugen Sie die OU Gruppe. Um nun zu sehen, wer Mitglied dieser Gruppe ist, klicken sie unter dem Reiter Members auf „Update Group“.

Eine OU neue Dynamische Gruppe Update

Damit haben sie nun effektiv eine dynamische OU Gruppe eingerichtet. In dieser befinden sich ausschließlich die individuell von Ihnen bestimmten User.

Dynamische Gruppen mit DynamicGroup

Mehrere OUs in eine dynamische Gruppe integrieren

Es kann vorkommen, dass Sie Objekte mehrerer OUs in einer Gruppe abbilden wollen. Auch dies ist mit FirstWare-DynamicGroup möglich.

In unserem Beispielfall wollen wir eine OU Gruppe für die Region der Ost-USA erstellen. Zu dieser Region sollen hier drei Gebiete gehören: Nämlich Boston, Cleveland und New York. In diesen Standorten (jeder in einer eigenen OU organisiert) befinden sich Benutzer, die wir in eine dynamische Gruppe integrieren wollen.

So könnten Sie vorgehen:

 

Erstellen einer Gruppe aus mehreren OUs mit DynamicGroup

Erstellen Sie die Gruppe OG-US-East-User für User aus OU Boston, OU Cleveland und OU New York analog zum Vorgehen bei einer einzelnen OU Gruppe (siehe 2.1 Neue Gruppe erstellen). Machen Sie die Gruppe mit einem Klick auf Enable zur dynamischen Gruppe.

OU Filter

Im zweiten Schritt erstellen Sie einen OU Filter, der die Anforderung abbildet. Passen Sie diesen nach Ihren Kriterien an.

OU Filter aktivieren

Mehrere OU neue Dynamische OU Gruppe - Filter erstellen
Gehen Sie dazu in die Query Settings und wählen Sie die Option Use OU Filter aus. Dadurch erscheint anschließend ein neuer Reiter bzw. Tab zur Auswahl in der Menüleiste: OU Filter. Wählen Sie diesen für den nächsten Schritt aus.

OU Filter erstellen

Sie haben nun zwei Optionen:

  1. Wählen Sie Subtree, um in Ihrer Suche auch Unter-OUs zu berücksichten.
  2. Wählen Sie One Level, um den Suchfilter auf eine Ebene einzuschränken.

Mehrere OU neue Dynamische Gruppe Filter einrichten

Als nächstes müssen Sie analog zum Beispiel oben die Search-Root festlegen. Dabei ist es sinnvoll gleich die zu nehmen, unter der die gewünschten OUs allesamt untergeordnet sind. In diesem Fall ist die Search-Root die Organizational Unit US, da sich alle Ziel-OUs unterhalb dieser befinden. Sie könnten auch direkt die gesamte Domäne verwenden, da darauf diese Bedingung ebenfalls zutrifft.

OU Filter einrichten

In diesem Schritt geht es darum, die Bedingungen genau zu definieren. Auf diese Weise wird eindeutig festgelegt, welche OUs gewählt werden sollen und welche nicht. Auch hier gibt es mehrere Möglichkeiten. In unserem Beispiel sollen explizit nur drei OUs berücksichtigt werden. Setzen Sie im Feld Query Conditions nun die drei Filterbedingungen:

Mehrere OU neue Dynamische Gruppe Filter einrichten 2
Sie wollen, dass alle User der drei OUs Mitglied der OU Gruppe werden. Daher benötigen Sie hier drei OR-verknüpfte Filter.

Nutzen Sie das Feld Query Conditions um einen Filter zu erzeugen. Unterhalb der OU „US“ definieren Sie jeweils einen OU Filter für Boston, Cleveland und New York. Das funktioniert am besten mit dem eindeutigen Attribut distinguishedName einer OU. Den Wert des distinguishedName einer OU können Sie am einfachsten mit der Users and Computers Console herausfinden.

Dynamische OU Gruppen Query Conditions

Anschließend klicken sie auf Apply. Wiederholen Sie diesen Vorgang für alle drei OUs.
Die so erstellten Bedingungen werden in LDAP-Filter umgewandelt.

Zusammenfassung OU Filter:
Sie haben die OU „US“ als Search-Root definiert.
Unterhalb dieser Search-Root haben Sie drei OU-Filter definiert.
Alle OUs unterhalb von „US“, die einen dieser Teilfilter erfüllen, werden berücksichigt.

Um zu sehen, welche OUs dies nun wirklich sind, klicken Sie wieder auf Preview.

 

Hauptabfrage für die dynamische Gruppe erstellen

Mehrere OU neue Dynamische Gruppe Hauptabfrage erstellen

Unter dem Tab Member Query erstellen Sie nun die Hauptabfrage. Hier haben Sie wieder verschiedene Auswahlmöglichkeiten. Wir wollen nur noch Benutzerobjekte berücksichtigen. In diesem Fall, müssen Sie User auswählen. Das war’s schon.

In der Preview erscheinen nun alle 22 Mitarbeiter der Standorte Bosten, Cleveland und New York. Wenn Sie die Gruppe speichern wollen, bekommen Sie den Hinweis, dass Sie an zwei Stellen LDAP Filter verwenden. Klicken Sie NO, damit beide Filter wirksam werden.

Zum Schluss lassen Sie die Gruppe mit Update Group berechnen und sehen dann alle 22 Benutzer als Mitglieder der Gruppe.
Eine OU neue Dynamische Gruppe Update

Wir beantworten Ihnen gerne Ihre Fragen zu dynamischen Gruppen und Dynamic Group – Schreiben Sie uns einfach.

Firstware-DynamicGroup 2015

Zur Produkt & Download-Seite:
FirstWare-DynamicGroup


 

FirstAttribute AG

 

FirstAttribute AG – Ihr Microsoft Consulting Partner

Wir unterstützen Sie bei Fragen zu Gruppen und Berechtigungen
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.
 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 17.01.2017
Tags: AD Gruppedynamic groupsdynamicgroupOrganizational UnitOUOU Gruppen
1

You also might be interested in

Automatische Gruppen Titel

Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

Sep 24, 2015

In Microsofts Active Directory werden Gruppen verwendet, um Berechtigungen und[...]

Active Directory Dynamische Sicherheitsgruppen

Active Directory dynamische Sicherheitsgruppen anlegen

Sep 1, 2011

Dynamische Sicherheitsgruppen sind nun in Active Directory möglich. Dynamische Verteilergruppen[...]

Powershell Mail-an-Mitglieder-einer-AD-Gruppe

E-Mail an Mitglieder einer AD Gruppe senden

Jun 28, 2016

Manchmal ist es notwendig alle Nutzer einer Anwendung kurz per[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next