guguy 10 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Guten Abend, ich habe eine kurze Frage bezüglich der Gruppen in der AD. Ich habe soweit verstanden das man den globalen Gruppen nur die Benutzer zuteilen sollte, und den lokalen Gruppen dann die entsprechenden globalen Gruppen als Mitglieder. Nun aber die Frage: Wenn ich eine globale Gruppe mit allen Rechten anlege, darin Benutzer hinzufüge und dann die Grupppe als Mitglied in einer lokalen Gruppe die nur Leserechte hat hinzufüge. Welche Rechte greifen dann? Ich gehe davon aus das die lokalen Rechte greifen?! Sprich ich kann eigentlich den globalen Gruppen alle Rechte geben und kann die Rechte in den lokalen Gruppen einschränken? Berichtigt mich bitte wenn ich da einen Denkfehler habe :) Gruß Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Wenn ich eine globale Gruppe mit allen Rechten anlege, darin Benutzer hinzufüge und dann die Grupppe als Mitglied in einer lokalen Gruppe die nur Leserechte hat hinzufüge. Welche Rechte greifen dann? Alle Rechte greifen. Sprich ich kann eigentlich den globalen Gruppen alle Rechte geben und kann die Rechte in den lokalen Gruppen einschränken? Nein, das ist nicht richtig. Der Sinn hinter AGDLP ist, dass DLG berechtigt werden und GG die Accounts beinhalten. Die GG werden nicht genutzt, um direkte Berechtigungen an Objekten zu vergeben. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Anders wäre auch der Sinn der Schachtelung hinfällig, oder? ;) Wozu brauche ich eine Lese Gruppe, wenn ich dort dann eine "Schreib" Gruppe reinschachtele? Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Moin, der Witz besteht darin, dass du über das Gruppenkonzept ein rollenbasiertes Zugriffsmodell implementieren kannst. Die Domänenlokalen Gruppen sind dabei die Zugriffsrollen: Eine Gruppe "Projektplan-ändern" erhält z.B. Ändern-Zugriff auf die Projektpläne, die Gruppe "Projektplan-lesen" erhält nur Lesezugriff. Dann steckst du die Globale Gruppe "Projektleiter" in die Schreibgruppe und die "Projektmitarbeiter" in die Lesegruppe. Danach musst du dann nur noch Gruppenmitglieder verwalten und brauchst die Berechtigungen auf dem Projektplan nie mehr zu verändern. Gruß, Nils Zitieren Link zu diesem Kommentar
guguy 10 Geschrieben 21. April 2010 Autor Melden Teilen Geschrieben 21. April 2010 ok ich verstehe :) die Rechte gibt man nur an den jeweilgen Ordnern, der lokalen Gruppe, die sie benötigten. Nur was macht dann die Rechtevergabe bei der Gruppenerstellung auf dem Windows Server 2008? Wenn ich eine lokale/Globale Gruppe erstelle kann ich da bei dem Anlegen auch Rechte vergeben. Oder habe ich mich da komplett verschaut bzw. haben die Rechte was anderes zu sagen? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Moin, deine letzte Frage ist nicht zu verstehen. Bitte formuliere sie noch mal neu. Gruß, Nils Zitieren Link zu diesem Kommentar
guguy 10 Geschrieben 22. April 2010 Autor Melden Teilen Geschrieben 22. April 2010 guten Morgen, das war gestern im Halbschlaf. Ich habe mir das nur eingebildet... Ich dachte man könne schon bei der Erstellung der Gruppen Rechte vergeben. Dem ist nicht so. Vielen Dank euch allen, ich hab das mit den Gruppen verstanden. :) schönen Tag noch. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.