flixs 10 Geschrieben 12. Juni 2006 Melden Geschrieben 12. Juni 2006 Hallo ich brauch nochmal Klarheit bzgl domänen lokalen und domänen globaler Gruppen: Backround ist: ich habe eine domäne, mehrere Standorte und verschiedene Gruppen die ich auf Programme berechtige (das ganze ist für ein Vortrag bei dem ich das erklären muss warum ich D und G Gruppen verwende) also ich habe jeweils für ein Programm die User in eine G und diese in eine D Gruppe gepackt. Warum aber braucht man die Domänen Lokale, weil eigtl gehts ja auch nur mit der Globalen. das ganze vllt mit Blick auf mehrere Domänen und mehr Berechtigungen ich habs zwar schon hier und da mal so halb gelesen aber so richtig überzeugend verstanden hab ichs immer noch net :suspect: falls einer davon Ahnung hat aber nich ganz versteht was ich will kann ichs ihm auch gern noch genauer erklären ;) Zitieren
Dirk_privat 10 Geschrieben 12. Juni 2006 Melden Geschrieben 12. Juni 2006 Hi, die DL Gruppen brauchst Du eigentlich nur, wenn Du Trusts zu anderen Domains hast. Bei einer Domäne brauchst Du sie eigentlich nicht, d.h. es geht auch ohne, aber wenn Du Dein Berechtigungskonzept ein sauberes Design sieht A-G-DL-P vor. Gruß Dirk Zitieren
flixs 10 Geschrieben 12. Juni 2006 Autor Melden Geschrieben 12. Juni 2006 also könnte man es auch so begründen, das es so übersichtlich(er) ist und MS das so rät?! wie siehts denn bei mehreren domänen mit Replikationsverkehr aus? da ja nur G Gruppen repliziert werden. wenn zb. aus 3 domänen G gruppen in einer D einer domäne wären Zitieren
ChristianHemker 10 Geschrieben 12. Juni 2006 Melden Geschrieben 12. Juni 2006 Stell dir vor, du willst einem normalen Domänenbenutzer die Möglichkeit geben, Berechtigungen zu verwalten. Das kann er so nicht. Richtest du allerding Ressourcengruppen (Domänenlokal) und Abteilungsgruppen (Global) ein, so kann dieser User mit AGDLP arbeiten. Er muss nicht mehr die Berechtigungen direkt, sondern nur noch Gruppenmitgliedschaften ändern. Beispiel: - 3 Zugriffslevel (Lesen / Ändern / Vollzugriff) DL_Daten_LE DL_Daten_AE DL_Daten_VZ Diesen Gruppen gibt der Admin die entsprechenden Berechtigungen auf der Ressource. - 3 Abteilungen G_Buchhaltung G_Geschäftsleitung G_Praktikanten Der normale User muss jetzt nur noch die G Gruppen in die DL Gruppen schieben, schon hat er Berechtigungen vergeben. Die Berechtigungen die er zum Ändern der Gruppenmitgliedschaft braucht, kann man ihm einfach in Active Directory delegieren. Zitieren
flixs 10 Geschrieben 12. Juni 2006 Autor Melden Geschrieben 12. Juni 2006 und die Rechte werden deshalb auf DL Gruppen vergeben, damit diese nur in dieser domäne gültig sind und nicht in einer anderen? und G Gruppen damit man zb der Buchhaltung dann in einer anderen domäne evtl andere Rechte zu geben? G Gruppen sind ja in jeder domäne bekannt und DL nur in der einen oder? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.