Dynamische OU Gruppen – OU Berechtigung im AD
Berechtigungen an OUs zu vergeben, würde die Administration oft vereinfachen. Besonders nach Migrationen ist dies interessant.
In diesem Artikel zeigen wir Ihnen, wie Sie selbstpflegende OU Gruppen für die Arbeit mit Active Directory erstellen und nutzen.
Index
Dynamische Gruppen im AD
Mit dynamischen Gruppen werden Gruppenmitgliedschaften automatisch vergeben. Dies geschieht auf Basis von Kriterien, die Sie selbst definieren. Auf diese Weise können Sie Berechtigungen automatisiert vergeben. Microsoft bietet im AD (fast) keine Möglichkeiten für dynamische Gruppen an. FirstAttribute, die Macher von Active-Directory-FAQ, haben aus diesem Grund das Werkzeug DynamicGroup entwickelt.
In diesem Artikel geht es darum, wie Sie die Vorteile dynamischer OU Gruppen nutzen können.
Weiterführende Artikel:
In Dynamische Gruppenmitgliedschaften erfahren Sie mehr zu den Grundlagen oder den vielfältigen Einsatzmöglichkeiten.
Vorteile dynamischer Gruppen
Dynamische Gruppen werden vor allem aus drei Gründen verwendet:
- Zeitersparnis
Standardabläufe wie Gruppenadministration sind zeitraubend. Die automatische Vergabe von Berechtigungen schafft mehr Zeit für die Systembetreuung. - Sicherheit
Automatisiertes Hinzufügen und Entfernen von Berechtigungen verhindert Überberechtigungen. So kann nicht vergessen werden, eine Berechtigung wieder zu entziehen. - Fehlervermeidung
Falschzuordnungen oder ein versehentliches Vergessen von Berechtigungen werden durch dynamische Gruppen verhindert.
Im Folgenden sehen Sie, wie Sie mit wenigen Schritten die komplexe OU Struktur ihres ADs nutzen können, um darauf basierend Berechtigungen zu vergeben. Sie erstellen dynamische Gruppen schnell, sicher und effektiv mit FirstWare-DynamicGroup.
Einsatz von OU Gruppen
Während in Novell eDirectory Berechtigungen auch direkt auf OUs vergeben werden können, ist dies in Active Directory nicht möglich. Organisationen, die das Konzept Ihres Verzeichnisdienstes beibehalten wollen, benötigen hierfür OU Gruppen. Idealerweise aktualisieren sich diese selbst. Hier kommen dynamische OU Gruppen ins Spiel.
Berechtigungen auf OU Ebene zu vergeben, wird durch dynamische OU Gruppen in Active Directory möglich.
Dynamische OU Gruppe für genau eine OU
Im ersten Beispiel geht es um die 1:1 Abbildung einer OU auf eine Gruppe. Die Mitglieder dieser Gruppe sollen gleich aller (Benutzer-)Objekte der OU sein. Veränderungen in der OU Struktur werden durch ein festgelegtes Service-Intervall (minütlich, täglich etc) automatisch in die Gruppe übernommen.
Mittels dieser Gruppe können Sie unkompliziert und schnell Berechtigungen an alle Objekte einer OU vergeben. Sie müssen nicht jedes Objekt einzeln bearbeiten. Und so richten Sie eine dynamische Gruppe für genau eine Organizational Unit ein (OU Group) ein:
Neue Gruppe erstellen
„OU Gruppe für alle User aus Boston“.
Normale Gruppe in eine Dynamische Gruppen ändern
Benutzer auswählen und überprüfen
Im dritten Schritt wählen Sie die gewünschten User aus, die in die Gruppe integriert werden sollen. Als Quelle hierfür dient die so genannte Search-Root. Dabei legen Sie individuell fest, an welchem Ort ihres Active Directorys nach den Benutzern gesucht werden soll. Corp – US – BOS – Users wäre es hier. In diesem Beispiel sind Search-Root und Ziel-OU zufällig identisch bezeichnet. Mit der Preview können Sie sich anschließend einen konkreten Überblick verschaffen.
Nachdem sie Ihre Auswahl mit „Apply“ bestätigt haben, erzeugen Sie die OU Gruppe. Um nun zu sehen, wer Mitglied dieser Gruppe ist, klicken sie unter dem Reiter Members auf „Update Group“.
Damit haben sie nun effektiv eine dynamische OU Gruppe eingerichtet. In dieser befinden sich ausschließlich die individuell von Ihnen bestimmten User.
Mehrere OUs in eine dynamische Gruppe integrieren
Es kann vorkommen, dass Sie Objekte mehrerer OUs in einer Gruppe abbilden wollen. Auch dies ist mit FirstWare-DynamicGroup möglich.
In unserem Beispielfall wollen wir eine OU Gruppe für die Region der Ost-USA erstellen. Zu dieser Region sollen hier drei Gebiete gehören: Nämlich Boston, Cleveland und New York. In diesen Standorten (jeder in einer eigenen OU organisiert) befinden sich Benutzer, die wir in eine dynamische Gruppe integrieren wollen.
So könnten Sie vorgehen:
Erstellen einer Gruppe aus mehreren OUs mit DynamicGroup
Erstellen Sie die Gruppe OG-US-East-User für User aus OU Boston, OU Cleveland und OU New York analog zum Vorgehen bei einer einzelnen OU Gruppe (siehe 2.1 Neue Gruppe erstellen). Machen Sie die Gruppe mit einem Klick auf Enable zur dynamischen Gruppe.
OU Filter
Im zweiten Schritt erstellen Sie einen OU Filter, der die Anforderung abbildet. Passen Sie diesen nach Ihren Kriterien an.
OU Filter aktivieren
OU Filter erstellen
Sie haben nun zwei Optionen:
- Wählen Sie Subtree, um in Ihrer Suche auch Unter-OUs zu berücksichten.
- Wählen Sie One Level, um den Suchfilter auf eine Ebene einzuschränken.
Als nächstes müssen Sie analog zum Beispiel oben die Search-Root festlegen. Dabei ist es sinnvoll gleich die zu nehmen, unter der die gewünschten OUs allesamt untergeordnet sind. In diesem Fall ist die Search-Root die Organizational Unit US, da sich alle Ziel-OUs unterhalb dieser befinden. Sie könnten auch direkt die gesamte Domäne verwenden, da darauf diese Bedingung ebenfalls zutrifft.
OU Filter einrichten
In diesem Schritt geht es darum, die Bedingungen genau zu definieren. Auf diese Weise wird eindeutig festgelegt, welche OUs gewählt werden sollen und welche nicht. Auch hier gibt es mehrere Möglichkeiten. In unserem Beispiel sollen explizit nur drei OUs berücksichtigt werden. Setzen Sie im Feld Query Conditions nun die drei Filterbedingungen:
Nutzen Sie das Feld Query Conditions um einen Filter zu erzeugen. Unterhalb der OU „US“ definieren Sie jeweils einen OU Filter für Boston, Cleveland und New York. Das funktioniert am besten mit dem eindeutigen Attribut distinguishedName einer OU. Den Wert des distinguishedName einer OU können Sie am einfachsten mit der Users and Computers Console herausfinden.
Anschließend klicken sie auf Apply. Wiederholen Sie diesen Vorgang für alle drei OUs.
Die so erstellten Bedingungen werden in LDAP-Filter umgewandelt.
Zusammenfassung OU Filter:
Sie haben die OU „US“ als Search-Root definiert.
Unterhalb dieser Search-Root haben Sie drei OU-Filter definiert.
Alle OUs unterhalb von „US“, die einen dieser Teilfilter erfüllen, werden berücksichigt.
Um zu sehen, welche OUs dies nun wirklich sind, klicken Sie wieder auf Preview.
Hauptabfrage für die dynamische Gruppe erstellen
Unter dem Tab Member Query erstellen Sie nun die Hauptabfrage. Hier haben Sie wieder verschiedene Auswahlmöglichkeiten. Wir wollen nur noch Benutzerobjekte berücksichtigen. In diesem Fall, müssen Sie User auswählen. Das war’s schon.
In der Preview erscheinen nun alle 22 Mitarbeiter der Standorte Bosten, Cleveland und New York. Wenn Sie die Gruppe speichern wollen, bekommen Sie den Hinweis, dass Sie an zwei Stellen LDAP Filter verwenden. Klicken Sie NO, damit beide Filter wirksam werden.
Wir beantworten Ihnen gerne Ihre Fragen zu dynamischen Gruppen und Dynamic Group – Schreiben Sie uns einfach.
Zur Produkt & Download-Seite:
FirstWare-DynamicGroup
FirstAttribute AG – Ihr Microsoft Consulting Partner
Wir unterstützen Sie bei Fragen zu Gruppen und Berechtigungen
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>