Group Management wird meist für Berechtigungen, wie z.B. Zugriffe auf File-Systeme oder Mail-Verteilerlisten, genutzt.
Organisation
Neben Berechtigungsgruppen und Mail-Verteilerlisten können Sie Gruppen auch für andere Zwecke einsetzen. z.B. im Identity Management für rollenbasierten Zugriff (RBAC).
Nutzen Sie AD Gruppen als:
- Zugriffsgruppen
- Rollengruppen
- Ressource-Gruppen
- etc.
Unzureichendes Gruppen-Management kann Sicherheitslücken verursachen. Ein Bespiel sind überberechtigte User, die nach einem Abteilungswechsel auf mehrere Shares zugreifen können.
Automatisierung von Berechtigungsgruppen
Haben Sie schon einmal an eine Verwaltung durch automatisierte Gruppen gedacht?
Mitglieder werden nur User, wenn sie bestimmte Voraussetzungen erfüllen:
- Bestimmter Wert in einem Attribut (z.B. Department = IT)
- Zugehörigkeit zu einer bestimmten OU
- Festlegung durch LDAP-Filter
- Bewusste Aufnahme oder bewusster Ausschluss durch „Include“ oder „Exclude“
Bei der Migration von Novell nach Active Directory sind dynamische Sicherheitsgruppen auch ein Thema, das Sie berücksichtigen sollten.