Vinzenz: Gruppen unter Windows 2003 Server

Beitrag lesen

SELF-Forum

Gruppen unter Windows 2003 Server

Vinzenz
Informationen zu den Bewertungsregeln

Hallo Karin,

Abend Leute,

ich muss bis morgen (ja, ja, immer diese Leute, die alles in der letzten Sekunde machen) eine Präsentation über die verschiedenen Gruppen von Windows 2003 Server machen. Dabei liegt das Hauptaugenmerk auf den Aufgabenbereichen und Unterschieden von lokalen, globalen und universellen Gruppen. Darüber Informationen zu finden ist mit Google an sich eine Sache von Sekunden. (Jetzt kommt aber noch das große Aber)

Ich zitiere aus "Microsoft Windows 2000 Server - Original Microsoft Training", Microsoft Press:

Lokale Domänengruppen

Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Domänengruppe hat folgende Merkmale:

  • Offene Mitgliedschaft
      Sie können Mitglieder aus einer beliebigen Domäne hinzufügen
  • Zugriff auf Ressourcen in einer Domäne
      Sie können mit Hilfe einer lokalen Domänengruppe Berechtigungen
      zuweisen, um nur auf die Ressourcen zuzugreifen, die sich in
      der gleichen Domäne befinden, in der Sie die lokale Domänengruppe
      erstellt haben

Globale Gruppen

Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren, für die gleiche Netzwerkzugriffsanforderungen bestehen. Eine globale Gruppe hat folgende Merkmale:

  • Eingeschränkte Mitgliedschaft
      Sie können nur Mitglieder aus der Domäne hinzufügen, in der Sie
      die globale Gruppe erstellt haben.
  • Zugriff auf Ressourcen in allen Domänen
      Sie können mit Hilfe einer globalen Gruppe Berechtigungen zuweisen,
      um auf Ressourcen zuzugreifen, die sich in einer beliebigen Domäne
      befinden

Universelle Gruppen

Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:

  • Offene Mitgliedschaft
      Sie können Mitglieder aus einer beliebigen Domäne hinzufügen
  • Zugriff auf Ressourcen in allen Domänen
      Sie können mit Hilfe einer globalen Gruppe Berechtigungen zuweisen,
      um auf Ressourcen zuzugreifen, die sich in einer beliebigen Domäne
      befinden
  • Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)

Ich finde nicht wirklich für mich verständliche Informationen wozu diese Gruppen von Nutzen sind.

Deine erste Anlaufstelle sollte der Hersteller des Produktes sein, einen Überblick bietet http://support.microsoft.com/default.aspx?scid=kb;en-us;816302.

Vereinfacht gilt folgender Leitsatz: Vergib nie Rechte einzelnen Benutzern, sondern nur Gruppen. Wenn ein Benutzer bestimmte Rechte benötigt, so füge ihn der Gruppe hinzu, die über diese bestimmten Rechte verfügt. Benötigt dieser Benutzer diese Rechte nicht mehr, so entferne ihn aus dieser Gruppe.

http://www.winfaq.de/faq_html/tip1147.htm
Diese Seite enthält Informationen, die mir logisch erscheinen, die an sich auch einfach zu verstehen sind, die aber (meiner Meinung nach) im kompletten Gegensatz zu der Aussage dieser Seite stehen:
http://www.lsg.musin.de/Admin/knowhow/ntrights/gruppen.htm

Das konnte ich jetzt nicht nachvollziehen. Genauer gesagt, habe ich die Tabellen 2 und 3 der ersten Quelle nicht verstanden. Die Tabelle der zweiten Quelle ist richtig.

Das hat mich doch enorm verunsichert. Ich höre immer wieder vollkommen unterschiedliche Sachen zu diesen Gruppen und weiß nicht mehr, wem ich noch glauben soll.

Was denn? Ein paar Beispiele wären nett. Dann kann man dazu Stellung beziehen. Glaub' im Zweifelsfall Microsoft (in diesem Spezialfall).

Zudem finde ich kaum Informationen zu praktischen Beispielen, wo man welche Gruppen wie und warum verwendet. (Allerdings kann es auch nur sein, dass ich da noch nicht lang genug gesucht habe.)

Bereits die eingebauten Gruppen enthalten wunderbare praktische Beispiele:
Nimm die lokale Gruppe der Administratoren einer Workstation. In einer Domänenstruktur (einer kleineren Firma) ist es der Normalfall, dass sich die globale (domänenweite) Gruppe der Domänenadministratoren in dieser Gruppe befindet. D.h., wenn sich ein Domänen-Admin an dieser Workstation anmeldet, verfügt er über lokale Administrationsrechte.

Für den Support kann es interessant werden, wenn dies mal nicht der Fall ist :-)

Wenn also irgendjemand so nett wäre und mir die eine oder andere gute Seite empfehlen könnte? Eine, die möglichst zuverlässige Informationen enthält und nicht so ein Möchtegernfachwissen (davon habe ich selber genug, danke auch).

Die Seiten aus den entsprechenden MicrosoftPress-Büchern. Ich habe recht gute Erfahrungen mit Büchern aus der Serie "Original Microsoft Training" gemacht. Für Windows Server 2003 wären das mit Bezug auf "Gruppen"

http://www.microsoft.com/mspress/books/5431.asp
http://www.edv-buchversand.de/mspress/product.asp?cnt=product&id=ms-931&lng=0

Zur Beschaffung zugegebenermaßen zu spät (auch recht teuer).

Ich bin zugegebenermaßen auch recht anspruchsvoll was gute Texte angeht, die auch noch schwierige Themen behandeln. Vielleicht hat ja einer einfach eine Idee?

Die Essenz aus dem Buch zu Windows 2000 Server:

Sicherheitsgruppen enthalten die gesamte Funktionalität von Verteilergruppen.
Verteilergruppen dienen als Listen für nicht sicherheitsrelevante Aufgaben (z.B. unterstützt Exchange 2003 Verteilergruppen als E-Mail-Verteiler).

Verwende lokale und universelle Gruppen um Berechtigungen für Ressourcen zuzuweisen. Weise diesen Gruppen (v.a.) globale Gruppen aber keine Einzelbenutzer zu.

Gehe mit universellen Gruppen sehr sparsam um.
Gehe sparsam mit der Verschachtelung um, die seit dem einheitlichen Modus von Windows 2000 Server verfügbar ist: d.h. globale Gruppen können globale Gruppen enthalten.

kurzer Überblick über die Gruppenbereiche (nur einheitlicher Modus Win 2000)

Gruppenbereich  | Inhalt
---------------------------------------------------
Lokale Domäne   | Benutzerkonten,     | aus belieb.
                | Computerkonten      | Domänen
                | globale Gruppen     |
                | universelle Gruppen |
---------------------------------------------------
Global          | Benutzerkonten   | aus der
                | Computerkonten   | gleichen
                | globale Gruppen  | Domäne
---------------------------------------------------
Universell      | Benutzerkonten      | aus einer
                | Computerkonten      | beliebigen
                | globale Gruppen     | Domäne
                | universelle Gruppen |

Falls Dir diese Informationen weiterhelfen, aber nicht ausreichend sind,
kann ich noch ein paar Seiten zitieren :-)

Freundliche Grüsse,

Vinzenz

Beitrag melden
Informationen zu den Bewertungsregeln