Dynamische OU Gruppen – OU Berechtigung im AD

Berechtigungen an OUs zu vergeben, würde die Administration oft vereinfachen. Besonders nach Migrationen ist dies interessant.
In diesem Artikel zeigen wir Ihnen, wie Sie selbstpflegende OU Gruppen für die Arbeit mit Active Directory erstellen und nutzen.

Dynamische Gruppen im AD

Mit dynamischen Gruppen werden Gruppenmitgliedschaften automatisch vergeben. Dies geschieht auf Basis von Kriterien, die Sie selbst definieren. Auf diese Weise können Sie Berechtigungen automatisiert vergeben. Microsoft bietet im AD (fast) keine Möglichkeiten für dynamische Gruppen an. FirstAttribute, die Macher von Active-Directory-FAQ, haben aus diesem Grund das Werkzeug DynamicGroup entwickelt.

In diesem Artikel geht es darum, wie Sie die Vorteile dynamischer OU Gruppen nutzen können.

Weiterführende Artikel:
In Dynamische Gruppenmitgliedschaften erfahren Sie mehr zu den Grundlagen oder den vielfältigen Einsatzmöglichkeiten.

Vorteile dynamischer Gruppen

Dynamische Gruppen werden vor allem aus drei Gründen verwendet:

1. Zeitersparnis
   Standardabläufe wie Gruppenadministration sind zeitraubend. Die automatische Vergabe von Berechtigungen schafft mehr Zeit für die Systembetreuung.
2. Sicherheit
   Automatisiertes Hinzufügen und Entfernen von Berechtigungen verhindert Überberechtigungen. So kann nicht vergessen werden, eine Berechtigung wieder zu entziehen.
3. Fehlervermeidung
   Falschzuordnungen oder ein versehentliches Vergessen von Berechtigungen werden durch dynamische Gruppen verhindert.

Im Folgenden sehen Sie, wie Sie mit wenigen Schritten die komplexe OU Struktur ihres ADs nutzen können, um darauf basierend Berechtigungen zu vergeben. Sie erstellen dynamische Gruppen schnell, sicher und effektiv mit FirstWare-DynamicGroup.

Einsatz von OU Gruppen

Während in Novell eDirectory Berechtigungen auch direkt auf OUs vergeben werden können, ist dies in Active Directory nicht möglich. Organisationen, die das Konzept Ihres Verzeichnisdienstes beibehalten wollen, benötigen hierfür OU Gruppen. Idealerweise aktualisieren sich diese selbst. Hier kommen dynamische OU Gruppen ins Spiel.

Berechtigungen auf OU Ebene zu vergeben, wird durch dynamische OU Gruppen in Active Directory möglich.

Dynamische OU Gruppe für genau eine OU

Im ersten Beispiel geht es um die 1:1 Abbildung einer OU auf eine Gruppe. Die Mitglieder dieser Gruppe sollen gleich aller (Benutzer-)Objekte der OU sein. Veränderungen in der OU Struktur werden durch ein festgelegtes Service-Intervall (minütlich, täglich etc) automatisch in die Gruppe übernommen.

Mittels dieser Gruppe können Sie unkompliziert und schnell Berechtigungen an alle Objekte einer OU vergeben. Sie müssen nicht jedes Objekt einzeln bearbeiten. Und so richten Sie eine dynamische Gruppe für genau eine Organizational Unit ein (OU Group) ein:
 

Neue Gruppe erstellen

Erstellen Sie eine neue Gruppe und geben Sie ihr den Namen OU-US-BOS-Users für

„OU Gruppe für alle User aus Boston“.

Normale Gruppe in eine Dynamische Gruppen ändern

Als nächstes klicken sie auf „Enable“ und ändern den Gruppentyp unter dem Reiter „General“. Einfach die Option dynamische Gruppe aktivieren. Dadurch sehen Sie eine Reihe neuer Tabs mit neuen Funktionen, die Sie für die nächsten Schritte brauchen werden.

Für die weiteren Beispiele müssen Sie die Query Settings jeweils individuell anpassen. In dem vorliegenden Fall reicht jedoch ein Klick auf den Tab „Member Query“ vollkommen aus.

Benutzer auswählen und überprüfen

Im dritten Schritt wählen Sie die gewünschten User aus, die in die Gruppe integriert werden sollen. Als Quelle hierfür dient die so genannte Search-Root. Dabei legen Sie individuell fest, an welchem Ort ihres Active Directorys nach den Benutzern gesucht werden soll. Corp – US – BOS – Users wäre es hier. In diesem Beispiel sind Search-Root und Ziel-OU zufällig identisch bezeichnet. Mit der Preview können Sie sich anschließend einen konkreten Überblick verschaffen.

Nachdem sie Ihre Auswahl mit “Apply” bestätigt haben, erzeugen Sie die OU Gruppe. Um nun zu sehen, wer Mitglied dieser Gruppe ist, klicken sie unter dem Reiter Members auf „Update Group“.

Damit haben sie nun effektiv eine dynamische OU Gruppe eingerichtet. In dieser befinden sich ausschließlich die individuell von Ihnen bestimmten User.

Mehrere OUs in eine dynamische Gruppe integrieren

Es kann vorkommen, dass Sie Objekte mehrerer OUs in einer Gruppe abbilden wollen. Auch dies ist mit FirstWare-DynamicGroup möglich.

In unserem Beispielfall wollen wir eine OU Gruppe für die Region der Ost-USA erstellen. Zu dieser Region sollen hier drei Gebiete gehören: Nämlich Boston, Cleveland und New York. In diesen Standorten (jeder in einer eigenen OU organisiert) befinden sich Benutzer, die wir in eine dynamische Gruppe integrieren wollen.

So könnten Sie vorgehen:

Erstellen einer Gruppe aus mehreren OUs mit DynamicGroup

Erstellen Sie die Gruppe OG-US-East-User für User aus OU Boston, OU Cleveland und OU New York analog zum Vorgehen bei einer einzelnen OU Gruppe (siehe 2.1 Neue Gruppe erstellen). Machen Sie die Gruppe mit einem Klick auf Enable zur dynamischen Gruppe.

OU Filter

Im zweiten Schritt erstellen Sie einen OU Filter, der die Anforderung abbildet. Passen Sie diesen nach Ihren Kriterien an.

OU Filter aktivieren

Gehen Sie dazu in die Query Settings und wählen Sie die Option Use OU Filter aus. Dadurch erscheint anschließend ein neuer Reiter bzw. Tab zur Auswahl in der Menüleiste: OU Filter. Wählen Sie diesen für den nächsten Schritt aus.

OU Filter erstellen

Sie haben nun zwei Optionen:

1. Wählen Sie Subtree, um in Ihrer Suche auch Unter-OUs zu berücksichten.
2. Wählen Sie One Level, um den Suchfilter auf eine Ebene einzuschränken.

Als nächstes müssen Sie analog zum Beispiel oben die Search-Root festlegen. Dabei ist es sinnvoll gleich die zu nehmen, unter der die gewünschten OUs allesamt untergeordnet sind. In diesem Fall ist die Search-Root die Organizational Unit US, da sich alle Ziel-OUs unterhalb dieser befinden. Sie könnten auch direkt die gesamte Domäne verwenden, da darauf diese Bedingung ebenfalls zutrifft.

OU Filter einrichten

In diesem Schritt geht es darum, die Bedingungen genau zu definieren. Auf diese Weise wird eindeutig festgelegt, welche OUs gewählt werden sollen und welche nicht. Auch hier gibt es mehrere Möglichkeiten. In unserem Beispiel sollen explizit nur drei OUs berücksichtigt werden. Setzen Sie im Feld Query Conditions nun die drei Filterbedingungen:

Sie wollen, dass alle User der drei OUs Mitglied der OU Gruppe werden. Daher benötigen Sie hier drei OR-verknüpfte Filter.

Nutzen Sie das Feld Query Conditions um einen Filter zu erzeugen. Unterhalb der OU “US” definieren Sie jeweils einen OU Filter für Boston, Cleveland und New York. Das funktioniert am besten mit dem eindeutigen Attribut distinguishedName einer OU. Den Wert des distinguishedName einer OU können Sie am einfachsten mit der Users and Computers Console herausfinden.

Anschließend klicken sie auf Apply. Wiederholen Sie diesen Vorgang für alle drei OUs.
Die so erstellten Bedingungen werden in LDAP-Filter umgewandelt.

Zusammenfassung OU Filter:
Sie haben die OU “US” als Search-Root definiert.
Unterhalb dieser Search-Root haben Sie drei OU-Filter definiert.
Alle OUs unterhalb von “US”, die einen dieser Teilfilter erfüllen, werden berücksichigt.

Um zu sehen, welche OUs dies nun wirklich sind, klicken Sie wieder auf Preview.

Hauptabfrage für die dynamische Gruppe erstellen

Unter dem Tab Member Query erstellen Sie nun die Hauptabfrage. Hier haben Sie wieder verschiedene Auswahlmöglichkeiten. Wir wollen nur noch Benutzerobjekte berücksichtigen. In diesem Fall, müssen Sie User auswählen. Das war’s schon.

In der Preview erscheinen nun alle 22 Mitarbeiter der Standorte Bosten, Cleveland und New York. Wenn Sie die Gruppe speichern wollen, bekommen Sie den Hinweis, dass Sie an zwei Stellen LDAP Filter verwenden. Klicken Sie NO, damit beide Filter wirksam werden.

Zum Schluss lassen Sie die Gruppe mit Update Group berechnen und sehen dann alle 22 Benutzer als Mitglieder der Gruppe.

Wir beantworten Ihnen gerne Ihre Fragen zu dynamischen Gruppen und Dynamic Group – Schreiben Sie uns einfach.

Zur Produkt & Download-Seite:
FirstWare-DynamicGroup