Lex1th 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Sorry, aber ich versuche seit Tagen dieses Thema zu kapieren aber ich sehe da keine Sinn bzw. kann ich es nicht verstehen. Kann mir bitte jamand mit eigenen Worten erklären wofür das gebraucht wird und wie man es sich merkt welche Gruppe wofür ist und zu welcher Gruppe ich sie konvertieren kann/muss. Vielen Dank im vorraus. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Da gab es schon einmal eine Diskussion zu diesem Thema: http://www.mcseboard.de/showthread.php?threadid=6985 Im Grundsatz: - Nutzer in globale Sicherheitsgruppen (GL) - GLs können nur Nutzer aus der gleichen Domäne enthalten, aber auf Ressourcen in beliebigen Domänen der Gesamtstruktur zugreifen - Ressourcen zu domänenlokalen Gruppen (DL) hinzufügen - DLs haben nur Wirkung in ihrer Domäne (resp. lokal auf Domänencontrollern), können aber Gruppen und Nutzer aus anderen Domänen der Gesamtstruktur enthalten - GLs als Mitglieder von DLs hinzufügen. Die Wirkung: Die Nutzer einer Domäne können auf lokale Ressourcen in anderen Domänen zugreifen. Soll ein Nutzer das nicht mehr können, wird er einfach aus der entsprechenden GL entfernt. Das streift das Thema natürlich nur am Rand, und von den universellen Gruppen in umfangreichen Gesamtstrukturen haben wir noch nicht einmal gesprochen. Hier ein Hinweis: Nie einzelne Nutzer zu Mitgliedern von UGs machen, sondern sie ausschliesslich in GLs zu UGs hinzufügen. Das macht die Verwaltung von Rechten und Berechtigungen einfacher und verringert den Replikationsverkehr. Ja, das ist Stoff zum Büffeln;-) Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Lex1th, mit den Gruppen ist es eigentlich garnicht so schwer wie man am Anfang denkt... ich will dir kurz die Methode beschreiben die MS empfiehlt du solltest dir aber mehr Artikel dazu durchlesen um tiefer in die Materie einzusteigen. 1. Lokale Benutzer u. Gruppen Zuerst mal eine wichtige Entscheidung es gibt Lokale Benutzer u. Gruppen u. Domänenbenutzer u. Gruppen. Eine Lokale Gruppe ist z.B. die Gruppe "Administratoren auf dem PC WXP-01 in der Domäne. Die Gruppe Domänen-Admins des Active Directory, ist Mitglied der lokalen Gruppe "Administratoren" auf PC WXP-01 und somit haben alle Domänen-Admins auch Adminberechtigungen auf PC WXP-01. Lokale Benutzer u. Gruppen werden in der SAM-Datenbank des jeweiligen PC´s abgespeichert. 2. Domänen Benutzer u. Gruppen Domänengruppen werden in verschiedene Arten von Gruppen eingeteilt... Gruppen zur Ressourcenvergabe u. Gruppen zur Abbildung der Organisationsstruktur. Beispiel: Wir haben in einer Firma 4 verschiedene Abteilungen, um die Abteilung abbilden zu können verwenden wir "Globale Gruppen" : GG_Abteilung_1 GG_Abteilung_2 GG_Abteilung_3 GG_Abteilung_4 Die Mitarbeiter werden nun entsprechend ihrer Position in die Gruppen einsortiert.... und Abteilung 1-3 soll Zugriff auf einen Freigegeben Ordner nennen wir ihn Transferlaufwerk und auf alle Farblaser der Domäne haben. Dazu erstellen wir zwei Domänen-Lokale Gruppen (dies sind keine Lokale Gruppen im ursprünglichen Sinn sondern werden auch im AD gespeichert): DLG_Transferlaufwerk DLG_Farblaser Nun fügen wir die Globalen Gruppen der Abteilung 1-3 den beiden Domänen-Lokalen als Mitglieder hinzu und setzen die Berechtigungen auf die Drucker und den Ordner. Somit haben alle Mitarbeiter der Abteilungen 1-3 die Berechtigung, die Sie benötigen. MS nennt dieses System: AGDLP Accounts Global Domain-Local Permissions Was hier zu beachten ist, ist der sogenannte Scope (Anwendungsbereich) der Gruppen. Welche Objekte kann ich verschachteln (nesting), mit welcher Gruppe wo Berechtigungen (Permissions) setzen und für welche Betriebsart des AD ist dies zulässig/möglich. Alle Details hier zu besprechen würde leider ein bisserl ausarten und ich kann dir nur den Grundriss nennen und ein paar Links geben.... Hinweise: Domänen-Lokale-Gruppen können nur verwendet werden um Ressourcen innerhalb der Domäne zu steuern in der Sie erstellt wurden Mittels Universeller Gruppen können Forestweit Berechtigungen gesetzt werden.... also domänenübergreifen.... sie stehen erst ab dem 2k Native-Mode zur Verfügung Falls ich jetzt alle Klarheiten beseitigt habe... hm sry... dann solltest du hier mal weiterlesen. Microsoft Technet Group Scope: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/79d93e46-ecab-4165-8001-7adc3c9f804e.mspx Verwendung von Gruppentypen und -bereichen in Windows 2000 http://support.microsoft.com/?kbid=231273 Windows 2000 groups http://www.svrops.com/svrops/documents/win2kgroups.htm LG Gadget EDIT: Ach dmetzger war mal wieder schneller... ups ... Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 @Kohn Aber Deine Ausführung ist möglicherweise leichter verständlich und die Links sind hilfreich. Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 4. August 2005 Autor Melden Teilen Geschrieben 4. August 2005 Vielen Dank für die Ausführlich Beschreibung. Teilweise habe ich es verstanden(erst recht mit dem Beispiel). Muss mich das aber wohl noch ein paar mal durchlesen :wink2: Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Nochmals ne kurz Erklärung zum empfohlenen MS-Schema (AGDLP) Benutzerkonten zu Globalen Gruppen hinzufügen die Globalen Gruppen zu Lokalen und diese Lokalen Gruppen zur Ressourcenberechtigungssteuerung verwenden. Max Mustermann ist Mitglied in der Globalen Gruppe GG_Vertrieb, diese ist Mitglied der Lokalen Gruppe DLG_Farblaser und auf allen Farblaserdruckern wurden der Lokalen Gruppe "DLG_Farblaser" das drucken erlaubt. Somit kann Max Mustermann drucken.... LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.