Jump to content

AGDLP - Strategie Frage


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus,

ich befinde mich momentan im 3ten Ausbildungsjahres als Fachinformatiker für Anwendungsentwicklung.
Ich habe mich gestern mit dem Unterrichtsstoff des letzten Jahres ein wenig befasst und ich habe eine
Verständnisfrage zur AGDLP-Strategie.
https://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png
Ich verstehe das Prinzip eines AGDLP, jedoch stelle ich mir die Frage, wieso man die Domain Local Groups braucht?
Könnte man nicht einfach die Global Groups direkt an die CRM-Datenbank/Drucker etc anbinden?
Was hat es für einen Vorteil wenn man dazwischen noch eine Domain Local Group hat..

Gruß,

Anton

Link zu diesem Kommentar

Man bekommt eine saubere Trennung zwischen Berechtigungen und Personen. 

Im Prinzip ist das Ergebnis eine Rollenbasierte Berechtigung. Die DL-Gruppen sind die Berechtigung und die globalen die Rollen. 

Es genügt dann ein Blick, wer welche Rolle hat und welche Berechtigung sich dahinter verbergen. Setzt du direkt die Berechtigungen für globalen Gruppen, dann musst du immer schauen was die dürfen. 

Beispiel:

globale Gruppe "PersonalVerw" ist in den DL-Gruppen "Drucker 0815", "Laufwerk P" und "Scanner 4711".

Du weißt sofort was die dürfen wenn du die globale Gruppe anschaust. 

Läßt du die DL weg musst du auf allen Druckern, Scannern etc nachsehen was die Leute dort dürfen. 

bearbeitet von magheinz
Link zu diesem Kommentar

Moin,

 

korrekt. Die Unterscheidung zwischen Rolle und Berechtigungsgruppe lässt sich am besten umsetzen, wenn man zwei verschiedene Gruppentypen hat - eben die Globalen und die Domänenlokalen Gruppen. Dadurch wird die grundlegende logische Trennung noch deutlicher, als wenn man nur eine Namenskonvention nutzen würde (die man natürlich auch braucht).

 

Ein weiterer Grund für die verschiedenen Gruppentypen: Domänenlokale Gruppen sollen explizit nur die Berechtigungen auf Ressourcen in der eigenen Domäne umfassen (also in dem Sicherheitsbereich, den man verwaltet). Daher können sie nur bei Ressourcen der eigenen Domäne eingesetzt werden. Globale Gruppen hingegen sollen absichtlich in anderen Domänen sichtbar sein, falls es mehrere gibt, weil sie organisatorische Zwecke erfüllen.

 

Gruß, Nils

 

Link zu diesem Kommentar
  • 1 Jahr später...

Hallo, ich hab mal ne sau blöde Frage ...

 

Nennt ihr die Gruppen denn dann auch wirklich DL_blablubb oder G_teamXY ?!

Ich bin jetzt seit 20 Jahren im Geschäft und habs noch nie so gemacht -.- Ich habe ein bißchen "Angst" vor der Menge an Gruppen. Wir haben jetzt schon 3900, wo soll das hinführen?

 

G_Team-A

G_Team-B

G_Team-C

G_Team-D

...

 

DL_FS1-Abt1-R

DL_FS1-Abt1-RW

DL_FS1-Ordner-Team-A-R

DL_FS1-Ordner-Team-A-RW

DL_FS1-Ordner-Team-B-R

DL_FS1-Ordner-Team-B-RW

...

 

Wir haben in ABTeilung1 z.B. 4 Bereich mit je 2-5 Teams, 3 Stabsstellen, komplizierte Ablage und Berechtigungswünsche und das spiegelt dann nur 1% der gesamten User dar?!

 

Danke und Grüße ; )

Mag

 

UPDATE:

Mir fällt gerade auf Abt1-R und -RW könnte ich weglassen und dafür immer alle Teams einzeln auf Ordner für alle berechtigen o_O

bearbeitet von Mag
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

deine Frage ist nicht saublöd, aber im Detail nicht ganz verständlich. Was haben deine Befürchtungen mit der Namenskonvention zu tun?

 

Womit du Recht hast: Ja, das Konzept kann zu sehr vielen Gruppen führen. Im Umkehrschluss aber - wenn du so komplexe Strukturen hast, wirst du immer sehr viele Berechtigungseinträge haben. Wenn du dazu die Zahl der Gruppen klein hältst, hast du sehr viele sehr komplexe Berechtigungseinträge. Das beschriebene Konzept versucht hingegen, die tatsächlichen Berechtigungseinträge möglichst einfach zu halten und dafür die Zuweisung über die (vielen) Gruppen deutlich zu machen. 

 

Eine erwünschte Folge ist die Erkenntnis, die du geäußert hast: Komplexe Berechtigungsstrukturen sind das eigentliche Problem, weil die dazu führen, dass jede Form der Abbildung schnell aufwändig und u.U. auch unübersichtlich wird. Das ist der Grund, warum große Organisationen dort schnell dazu übergehen, die möglichen Berechtigungen einzuschränken und nicht alles, was technisch möglich ist, auch umzusetzen.

 

Spätestens da ist man dann auf der organisatorischen Ebene. Und das führt zu Erkenntnis 2, vor der sich die meisten IT-Abteilungen aber noch viel mehr sträuben: Die IT hängt mit der Organisation des Unternehmens zusammen. Um zu einer leistungsfähigen Abbildung zu kommen und den IT-Service passend zu organisieren, muss die IT mit den Fachabteilungen und der Orga reden.

 

Gruß, Nils

PS. "hab ich noch nie so gemacht" ist irgendwie kein Argument ... :lol3:

bearbeitet von NilsK
Link zu diesem Kommentar

Nein, stimmt :D es war eher ein Schuldeingeständnis

 

Du hast recht, es waren 2 verschiedene Dinge. Ich bin abgedriftet. Ich hatte ursprünglich nur die Frage der Namenskonventionen. Die hat noch niemand beantwortet ;)

Macht ihr eine solche Trennung per Namenskonvention?

 

Wo kann ich denn kaufen, dass unsere Organisation auch so vor geht ;)

Danke für die fixen Antworten. Ich mach nun mal Feierabend.

bearbeitet von Mag
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...