Gruppen in AD

[schusterharry 10]

ich lern grad für die 70-218 bzw möcht auch den Stoff der 70-216 (welche ich schon bestanden hab) nochmal durchmachen ums besser zu kapieren.

Bei all den Prüfungen gibts nun ein Problem das mich echt beschäftigt und mir noch immer nicht so recht einleuchten will.

(Es stellt sich nun die Frage: ist das doch nicht so einfach oder bin ich nur zu ****? )

 

Das sind die Gruppen in AD, sprich: Globale, Lokale Domänengruppe und universelle Gruppen.

Ich kenn den Text aus den MS Büchern aber so richtig klar ists trotzdem nicht darum schreib ich hier mal nieder wie mein Übungsnetzwerk grad ausschaut und hau dann ein paar Fragen dazu rein.

 

Also ich hab 3 Arten von Usern

 

Chefs (konten nennen sich Chef1 bis Chef 5)

Sekrtärinnen (Konten nennen sich sek1 bis sek5)

Produktionsmitarbeiter (KOnten nennen sich prod1 bis prod 5)

 

hab nun also 15 User welche ich in 3 Gruppen aufteilen soll - so versteh ich das MS Buch

 

Ich mach nun also 3 GLOBALE GRUPPEN die sich GHEFS, SEK und PROD nennen.

Nun sollte ich diese Gruppen in LOKALE DOMÄNENGRUPPEN verschieben um so den ZUgriff auf die Ressourcen zu steuern so stehts im Buch........

 

Frage 1.) Wieso soll ich nicht zb die ntfs Berechtigungen auf die GLOBALEN GRUPPEN anwenden?

 

Frage 2.) Wieso sollte ich nicht die User GLEICH in LOKALE DOMÄNENGRUPPEN einteilen sondern zuerst in globale Gruppen?

 

So wie ich das Buch verstehe muss ich nun 3 LOKALE DOMÄNENGRUPPEN machen und in diese nehm ich dann meine 3 GLOBALEN GRUPPEN auf

 

Nun hab ich also für jede Benutzereinheit (Chefs, Sek und Prod) 2 Gruppen und frag mich: wo liegt da der Vorteil oder SInn? Wird dadurch nicht alles irgendwie total unübersichtlich?

 

Frage 3.) Ich hab nur eine Domäne, alle User sind nur in der Domäne vorhanden und es sollen auch keine anderen dazukommen aus anderen Domänen-was spricht nun dagegen alle User nur in GLOBALE GRUPPEN einzuteilen?

 

Frage 4.) Wie würdet ihr meine User von oben sinnvoll einteilen-kann mir das jemand einfach erklären ?

 

mfg

 

schuster harry

[IThome 10]

In kleinen Umgebungen mit wenigen Gruppen würde ich es auch nicht machen. Habe ich aber viele Gruppen und viele Ressourcen, wird es schnell unübersichtlich, wenn ich den Gruppen direkt Berechtigungen gebe (das ist genauso unübersichtlich, als wenn ich vielen Benutzern direkt Berechtigungen vergebe). In diesem Fall ist es wesentlich effizienter, verhältnismässig wenige Ressourcengruppen zu erstellen, denen ich dann die wesentlich höhere Anzahl an Kontengruppen zuordnen kann.

Einer der Gründe, warum man globale Gruppen als Kontengruppen benutzt ist, dass sich globale Gruppen auch in vertrauenswürdigen Domänen benutzen lassen, was mit domänenlokalen Gruppen nicht funktioniert.

Stell Dir nur mal vor, Du hättest 3 Drucker, alle 3 Gruppen sollen auf alle 3 Drucker zugreifen mit unterschiedlichen Berechtigungen pro Drucker und Du machst es dann so, wie in Deinem Buch gefordert. :suspect:

Letztlich ist es Deine Sache, wie Du es machst. Microsoft erwartet in den Prüfungen aber leider, dass man nach diesem Schema vorgeht. Bis jetzt habe ich es auch immer nur so gelesen. Ich bin jetzt gerade in der Vorbereitung zur 70-299, da steht es endlich einmal anders, nämlich dass diese Vorgehensweise bei kleinen Organisationen ungeeignet ist und man den globalen Gruppen (so mache ich es in kleinen Umgebungen eigentlich schon immer) oder sogar direkt den Benutzern die Berechtigungen gibt.